FORTIWEB 中文操作手册 - Fortinet技术支持中心FORTIWEB 中文操作手册内部版本号日期地点作者描述 1.0 2014/3/14 Hunk 王重人基于Fortiweb

FORTIWEB 中文操作手册

内部版本号日期地点作者描述

1.0 2014/3/14 Hunk

王重人

基于 Fortiweb Admin

guide5.1 撰写

1 目录

Fortiweb 中文操作手册 ........................................................................................................ 1

1. 如何设置 FortiWeb ........................................................................................................... 9

1.1. 物理设备与虚拟机设备 ........................................................................................ 9

1.2. 注册您的 FortiWeb ................................................................................................ 9

1.3. 规划网络拓扑 ...................................................................................................... 10

1.4. 如何选择工作模式 .............................................................................................. 11

1.5. 连接 web 管理界面或命令行 ............................................................................. 17

1.6. 升级固件 .............................................................................................................. 21

1.7. 修改“admin”账户的密码 .................................................................................... 23

1.8. 设定系统时间和日期 .......................................................................................... 23

1.9. 设置操作模式 ...................................................................................................... 24

1.10. 配置高可用(HA) FortiWeb 集群 ...................................................................... 25

1.11. 配置网络设置 .................................................................................................. 27

1.12. 连接 FortiGuard 服务 ....................................................................................... 30

1.13. 配置基本政策 .................................................................................................. 37

1.14. 自动学习 .......................................................................................................... 40

1.15. 测试安装 .......................................................................................................... 48

2. 备份 ................................................................................................................................. 50

2.1. 还原以前的配置 .................................................................................................. 52

4 管理员 ............................................................................................................................. 53

4.1 配置访问控制列表 .............................................................................................. 54

4.2 群组管理员的远程认证查询 .............................................................................. 55

4.3 更改管理员密码 .................................................................................................. 57

5 用户 ................................................................................................................................. 57

5.1 认证方式 .............................................................................................................. 58

5.2 单点登录（SSO） ................................................................................................ 63

6 定义你的 Web 服务器和负载平衡 ................................................................................ 66

6.1 被保护的 Web 服务器与允许/保护的主机名 ................................................... 66

6.2 定义保护/允许的 HTTP“主机”头名 ............................................................... 67

6.3 定义你的 Web 服务器 ........................................................................................ 68

6.4 配置服务器启动/关闭检查 ................................................................................ 70

6.5 将您的 Web 服务器组成服务器集群 ................................................................ 71

6.6 定义你的代理服务器，客户端，及 X-headers ................................................. 73

6.7 在您的 FortiWeb 设备上配置虚拟服务器 ......................................................... 74

6.8 定义定制化服务 .................................................................................................. 75

6.9 启用或禁用流量转发到你的服务器 .................................................................. 76

7 安全连接（SSL / TLS） ................................................................................................... 76

7.1 卸载与检验 .......................................................................................................... 77

7.2 支持的加密算法和协议版本 .............................................................................. 77

7.3 上传信任的 CA 的证书 ........................................................................................ 78

7.4 将信任 CA 的证书编组 ........................................................................................ 80

7.5 如何卸载或检查 HTTPS ....................................................................................... 81

7.6 上传服务器证书 .................................................................................................. 83

7.7 如何强制客户端使用 HTTPS ............................................................................... 84

7.8 如何应用 PKI 客户端身份验证（个人证书） ................................................... 84

7.9 上传 CA 证书到 FortiWeb 的可信 CA 存储 ........................................................ 92

7.10 吊销证书 .......................................................................................................... 93

8 访问控制 ......................................................................................................................... 95

8.1 限制访问特定 URL ............................................................................................... 95

8.2 结合访问控制和速率限制 .................................................................................. 98

8.3 黑名单客户和白名单客户 .................................................................................. 99

9 速率限制 ....................................................................................................................... 105

9.1 DoS 防护............................................................................................................. 105

9.2 防止自动请求 .................................................................................................... 108

9.3 防止暴力破解登录 ............................................................................................ 111

10 重写和重定向 ............................................................................................................ 112

10.1 示例：重定向 HTTP 到 HTTPS....................................................................... 116

10.2 示例：完整主机名称或地址的转换 ............................................................ 118

10.3 示例：消毒中毒的 HTML .............................................................................. 121

10.4 示例：插入和删除正文 ................................................................................ 123

10.5 示例：使用正则表达式重写 URL ................................................................. 124

10.6 示例：使用变量重写 URL ............................................................................. 125

10.7 将重写和重定向规则编组 ............................................................................ 125

11 阻挡已知攻击和数据泄露 ........................................................................................ 127

11.1 配置特征规则 ................................................................................................ 127

11.2 配置动作重写或者例外在数据泄露和攻击检测模型 ................................ 131

11.3 强制页面浏览逻辑控制 ................................................................................ 137

11.4 指定特殊 url 允许初始回话 .......................................................................... 138

12 阻挡 0 日攻击............................................................................................................ 139

12.1 参数规范 ........................................................................................................ 139

12.2 修改参数输入规则 ........................................................................................ 143

12.3 定义自定义数据类型 .................................................................................... 143

12.4 阻挡篡改隐藏表单输入 ................................................................................ 144

12.5 指定 http 访问方法 ....................................................................................... 146

12.6 配置访问方法例外 ........................................................................................ 147

12.7 Http/https 协议合规 .......................................................................................... 148

12.8 配置 http 协议例外 ....................................................................................... 150

13 限制文件上传 ............................................................................................................ 151

14 压缩解压缩 ................................................................................................................ 154

14.1 配置压缩和解压缩免除 ................................................................................ 154

14.2 配置压缩负载 ................................................................................................ 155

14.3 配置临时解压缩用于病毒检查和重写 ........................................................ 156

15 策略............................................................................................................................ 157

15.1 运行模式对策略的影响 ................................................................................ 157

15.2 配置全局白名单 ............................................................................................ 158

15.3 上传一个自定义错误页面 ............................................................................ 160

15.4 配置一个保护模型在在线模式下 ................................................................ 161

15.5 配置保护模型应用于脱网部署或异步部署 ................................................ 164

15.6 配置服务器策略 ............................................................................................ 165

15.7 http pipelining .................................................................................................... 173

15.8 关闭或者开启策略 ........................................................................................ 173

16 网页防篡改 ................................................................................................................ 173

16.1 恢复备份网站 ................................................................................................ 177

17 合规............................................................................................................................ 177

17.1 认证 ................................................................................................................ 177

17.2 防止信息泄露 ................................................................................................ 177

17.3 漏洞扫描 ........................................................................................................ 178

18 高级可选系统设置 .................................................................................................... 185

18.1 改变 fortweib 主机名 .................................................................................... 185

18.2 配置掉电或者重启自动 bypass .................................................................... 186

18.3 高级设置 ........................................................................................................ 187

19 监视 fortiweb ............................................................................................................. 188

19.1 仪表盘 ............................................................................................................ 188

19.2 Raid 级别和硬盘状态 ....................................................................................... 197

19.3 日志 ................................................................................................................ 198

19.4 邮件报警 ........................................................................................................ 217

19.5 SNMP .................................................................................................................. 219

19.6 报告 ................................................................................................................ 223

19.7 监视当前阻挡的 ip ........................................................................................ 236

19.8 Fortiguard 升级 .................................................................................................. 237

1. 如何设置 FORTIWEB

这些说明将会指导你更简单的，核查安装工作。在此，您可以使用选项功能以及微调

你的配置。如果您逐步部署，在过渡阶段，您可能需要首次安装 FortiWeb 为离线保护

模式。在这种情况下，您可能需要完成多次“如何设置您的 FortiWeb”，第一次是离线

保护模式，然后再切换到您最终选择的工作模式。部署所需的时间因人而异：

•你的 web 应用程序数量

•你的 web 应用程序的复杂性

•如果您在初始配置时使用自动学习功能，还将决定于您网站的流量和使用模式

1.1. 物理设备与虚拟机设备

安装工作的具体流程，将取决于您的 FortiWeb 是物理设备还是虚拟设备。

要安装一个物理 FortiWeb 设备，请按照“如何设置您的 FortiWeb”的步骤。

要安装一个虚拟设备 FortiWeb-VM，首先按照“FortiWeb-VM 安装指南”，然后继续按

照“如何设置您的 FortiWeb”。

1.2. 注册您的 FORTIWEB

在开始之前，花一点时间在 Fortinet 技术支持网站来注册您的 Fortinet 产品：

https://support.fortinet.com

许多 Fortinet 公司的客户服务，如固件更新，技术支持，与 FortiGuard 服务都需要注

册产品。

想要了解更多信息，请参见 Fortinet 知识库文档“注册常见问题解答”。

1.3. 规划网络拓扑

你需要在 Web 服务器和访问这些数据的所有客户端之间部署 FortiWeb 设备，用来接收

Web 服务器的流量保护你的 Web 服务器。

网络配置应确保发往 Web 服务器的所有网络流量都必须先穿越或经过 FortiWeb 设备

（取决于你的操作模式）。

通常情况下，客户端从互联网通过防火墙，如 FortiGate 设备访问 Web 服务器，所以

FortiWeb 设备应在 Web 服务器和防火墙之间进行安装。

除了 FortiWeb 设备最好安装一个通用的防火墙设备，如 FortiGate。

如果不这样做可能会使你的 Web 服务器容易受到不属于 HTTP / HTTPS 的攻击。

FortiWeb 设备是不通用的防火墙，并且如果启用了基于 IP 的转发，将允许未经检验的

non-HTTP/HTTPS 流量通过。

1.4. 如何选择工作模式

很多因素，包括：

•支持 FortiWeb 功能

•所需的网络拓扑结构

•积极/消极安全模型

•Web 服务器配置

每个工作模式支持的功能

需要最广泛的功能支持，请选择反向代理模式。

如果您所选择的操作模式不支持您需要的功能，如 DoS 保护或 SSL / TLS 卸载，您需要

配置您的 Web 服务器或其他网络设备，以提供该功能。下表列出了所有模式/协议的

功能。

^ 在反向代理模式中不支持完全配置同步。

‡ 支持TCP SYN cookie的泛洪。

§ 只支持告警动作。

* 需要你的Web应用程序中包含会话ID。

~ 不支持DSA加密的服务器证书。

? 不支持Diffie-Hellman密钥交换

# PKI 认证需要使用 HTTPS。

功能模式或 HA 模式所匹配的拓扑

所需的物理拓扑结构由您所选择的操作模式而定。取决于你是否会操作一个高可用性

（HA）FortiWeb 设备的集群，拓扑也会不同。

反向代理模式适用的拓扑

这是默认的操作模式，并且最常见的。大多数功能都支持

向虚拟服务器的网络接口和 IP 地址发送请求并不能直接到达 Web 服务器，FortiWeb 将

全部启用 NAT。

由于反向代理模式的 NAT，DNS A 记录可能需要变化。，服务器会看到

FortiWeb 的 IP，而不是源客户端的 IP，所以验证服务器不适用源 IP 为基础的功能，例

如速率限制或地域分析。

如果你希望在不更改 IP 和 DNS 的情况下部署设备，请使用透明模式

在反向代理模式默认情况下，设备将不会从虚拟服务器向受保护的后端服

务器转发 non-HTTP/HTTPS 流量。（未扫描的协议基于 IP 的转发/路由被禁用。）

网络拓扑结构：反向代理模式

FortiWeb 应用第一个适用的策略，然后转发流量到匹配的 Web 服务器。

FortiWeb 记录日志，阻断，或者修改违反都根据所匹配策略执行。

透明模式适用的拓扑

适用于不改变 IP 地址的情况。请求被发往 Web 服务器，而不是 FortiWeb 设备。比离

线保护模式支持的功能多，但比反向代理少。

在透明模式下，设备将转发 non-HTTP/HTTPS 协议的流量。

网络拓扑结构：透明模式

举一个透明模式的例子，客户在 Internet 上通过 FortiWeb 设备端访问 Web 服务器。防

火墙安装在 FortiWeb 设备与互联网之间规范 non-HTTP/HTTPS 流量。端口 1 连接到管

理员的计算机。端口 3 连接到防火墙。端口 4 连接到 Web 服务器。端口 3 和端口 4 有

没有自己的 IP 地址，并作为一个 V-zone（桥）。因为端口 3 和端口 4 有 bypass 硬件支

持，这种拓扑结构也可以让您在 FortiWeb 掉电的情况下实现 bypass。

离线保护模式适用的拓扑

“离线”是这种模式的恰当描述。特点是改动最小。它不引入任何的延迟。但是有许

多功能不支持。

大多数企业不会永久部署离线保护模式.一般作为一种了解他们的网络服务器

的漏洞的过度方式，之后他们将切换到另一个操作模式，一般是在线模式。

网络拓扑结构：离线保护模式

FortiWeb 从数据采集的网络接口上接收流量（不管 IP 地址）并应用第一个适用的政

策。因为它不与 Web 服务器相连，所以它不转发允许的流量。根据匹配政策和保护个

人资料 FortiWeb 记录告警或阻止违法行为的日志。如果 FortiWeb 检测到恶意的请求

时，它会发送一个 TCP RST（复位）数据包通过阻塞端口的 Web 服务器和客户端试图

终止连接。它不以其他方式修改的流量。（它不能实现一些功能例如：卸载 SSL，负载

平衡连接，或支持用户身份验证。）

高可用集群适用的拓扑

这里为反向代理模式例举了另外一种拓扑，单一的 FortiWeb 设备已经换成了两台设备

的集群主动-被动（HA）。在活动设备发生故障时，备用设备将替代故障设备的 IP 地

址并接管故障设备的流量。

网络拓扑结构：反向代理模式（HA）

如果你使用一台交换机来连接心跳接口，那么它必须支持二层组播。

1.5. 连接 WEB 管理界面或命令行

配置、维护和管理的 FortiWeb 设备，有两种方法：

web 用户界面 - 图形用户界面（GUI），从一个网页浏览器。它可以显示报告和日

志，但缺少许多先进的诊断命令。

命令行界面（CLI） - 一个文本界面类似于 DOS 或 UNIX 命令，从安全外壳（SSH）或

Telnet 终端，或者从 JavaScript 的命令行控制台窗口，在 Web UI（系统设置>状态>状

态）。它提供了访问许多先进的诊断命令以及配置，但缺乏报告和日志。

如果要通过网络 CLI 或 Web 用户界面连接尚未配置的设备：

•您第一次连接设备

•你将配置重置为其默认状态

•您刚刚恢复固件

在这些情况下，您必须首先将计算机直接连接到 FortiWeb，使用默认设置。

如果你安装的是 FortiWeb-VM 虚拟设备，并遵循的 FortiWeb-VM 安装指南

中的说明，你应该已经可以连接。

连接 web 管理界面

您可以使用其默认设置连接到 Web 界面。

用于连接到 Web 界面的默认设置

要连接到 Web 的用户界面

1 在您的管理计算机，配置具有静态 IP 地址的以太网端口 192.168.1.2，掩码为

255.255.255.0。

2 使用以太网电缆，您的计算机的以太网端口连接到 FortiWeb 设备的端口 1。

3 启动浏览器并输入 URL：

https://192.168.1.99/

（请记住，在 https://开头包括“S”。）

连接命令行

使用其默认设置，你可以用两种方式从你的管理电脑访问 CLI：

•本地控制台连接

•SSH 连接，无论是本地或通过网络

使用默认设置通过 SSH 连接到 CLI

通过 console 线连接命令行的参数：

串口线连接到 COM1（或者，如果你的计算机有多个串口，所连接的串行端口名称）

速度（波特率）：9600

数据位：8

停止位：1

奇偶校验：无

流控制：无

1.6. 升级固件

新的 FortiWeb 设备附带了最新的操作系统（固件）时 shipped.However，如果一个新版

本已经发布，并且因为你的设备已经出场，你可以再继续升级安装。

Fortinet 公司定期发布 FortiWeb 固件更新，包括改进和解决的问题。当您已经注册您

的 FortiWeb 设备，可以在此下载 FortiWeb 固件：https://support.fortinet.com

安装固件

您可以使用网页界面或 CLI 升级或降级的设备的操作系统。

•更新到新版本

•回归到以前的某个版本

要确定是否要更新或恢复固件，进入系统>状态>状态，并在系统信息窗口操作。

在系统信息窗口，固件版本行中，单击更新。

安装备用固件

在 System > Maintenance > Backup & Restore.

1.7. 修改“ADMIN”账户的密码

通过 Web 用户界面更改 admin 管理员密码

1。进入系统>管理>管理员。

2。在相应的管理员帐号 admin 行。

3。单击更改密码。

4。在旧密码字段，不输入任何内容。（在默认状态下，没有密码的管理员帐户。）

5。在新密码字段中，输入具有足够的复杂性的密码。

6。在确认密码字段中，再次输入新密码以确认其拼写。

7。单击 OK（确定）。

8。单击注销。

要通过 CLI 更改 admin 管理员密码

输入以下命令：

config system admin

edit admin

set password <new-password>

end

exit

1.8. 设定系统时间和日期

进入系统>维护>系统时间。

时间设置对话框中会出现一个弹出窗口。

1.9. 设置操作模式

一旦 FortiWeb 设备安装并接通电源，你实际连接的 FortiWeb 设备到你的整体网络，并

且您已经连接到无论是 FortiWeb 设备的 Web 界面或 CLI，您必须配置的操作模式。

操作模式（反向代理）

操作模式（完全透明代理）

如果要更改为透明代理模式，还需要配置默认网关：下一跳路由器的 IP 地址，并配置

管理 IP 与端口 1 的 IP 地址。

1.10. 配置高可用(HA) FORTIWEB 集群

默认情况下，FortiWeb 设备是每一个单一的，独立的设备。他们独立运作。

如果您购买一个以上的 FortiWeb 设备，可以配置使其形成一个主动 - 被动高可用性

（HA）FortiWeb 集群。这提高了可用性，这样就可以达到 99.999％的服务等级协议

（SLA）运行时间无论硬件故障或维护期间。

如果您有多个 FortiWeb 设备，但不需要故障切换，您仍然可以同步配置。这

可用于克隆的网络环境和外部负载平衡的主动 - 主动 HA 模式。

HA 拓扑和故障切换 - IP 地址转移到新的活动设备

可以获得最佳的容错能力，确保您的拓扑结构是完全冗余，无单点故障。

配置 HA

1 如果 HA 集群需要使用 FortiGuard 的服务，请授权 HA 集群的所有 FortiWeb 设备，并

在 Fortinet 技术支持网站进行注册。

2 用网线连接两个设备组成一个冗余的网络拓扑结构。

3 用 admin 管理员帐号登录到两台设备。

4 在两台设备上, 通过 System > Config > HA-Config，切换模式

5 在配置的 HA 模式下，选择主动 - 被动。

6 配置这些设置：

7 点击应用

1.11. 配置网络设置

出厂时，每个 FortiWeb 设备的物理网络适配器端口（或者，对于 FortiWeb-VM 的

vNIC）有一个默认的 IP 地址和子网掩码。如果这些 IP 地址和子网掩码都不能与你独特

的网络设计兼容，您必须将它们配置。

默认的 IP 地址和掩码

*网络接口的数量因型号而异。

添加网关

在 FortiWeb 设备中静态路由的流量转发基于数据包的目的地，您可以通过配置它的默

认网关来指定数据包离开的接口，并且下一跳路由器知道到达外部网络的途径，并且

使数据包到达最终目的地。您的 FortiWeb 本身并不需要知道完整的路径，只要该路由

器可以正确转发这些数据包。

通过 Web 界面添加静态路由

1 通过 System > Network > Static Route

2 单击新建

3 配置这些设置

4 单击 OK（确定）

通过 CLI 添加默认路由

config router static

edit <route_index>

set gateway <gateway_ipv4>

set device <interface_name>

end

配置 DNS 设置

像许多其他类型的网络设备一样，FortiWeb 设备需要连接到 DNS 服务器进行 DNS 查

找。

您的 Internet 服务提供商（ISP）可以提供 DNS 服务器的 IP 地址，或者你可能想使用你

自己的 DNS 服务器的 IP 地址。

通过 Web 界面配置 DNS 设置

1 通过 System > Network > DNS

2 在主 DNS 服务器，输入主 DNS 服务器的 IP 地址。

3 在备用 DNS 服务器，输入辅助 DNS 服务器的 IP 地址。

4 在本地域名，输入到该 FortiWeb 设备所属的地域的名称，如果有的话。

5 点击 Apply 按钮。

通过 CLI 配置 DNS 设置

1 输入以下命令：

config system dns

set primary <address_ipv4>

set secondary <address_ipv4>

set domain <local-domain_str>

end

1.12. 连接 FORTIGUARD 服务

大部份的攻击和病毒风险发生在 2 个月的

已知漏洞之内。大多数僵尸网络包括成千

上万的僵尸电脑的 IP 地址是不断变化

的。为了使你的防御有效对抗不断变化的

威胁环境，Fortinet 公司建议的 FortiGuard

服务。

新的漏洞和僵尸网络的发现和新的签名是

由 Fortinet 公司的研究人员每一天建成。

如果没有这些更新，您的 FortiWeb 无法检测最新的威胁。

在您订阅的 FortiGuard 服务后，请配置 FortiWeb 设备连接到互联网，以便它可以以达

到在全球范围内的 FortiGuard 更新服务器（FDN）

FortiWeb 设备通常可以使用默认设置连接到 FortiGuard 服务器，由于路由和防火墙的

差异，你应该通过验证连接，已确认确认连通性。

你必须先在 Fortinet 技术支持网站上注册你的 FortiWeb 设备

（https://support.fortinet.com/），从 FDN 接收服务。该 FortiWeb 设备还必须有一个有

效的 Fortinet 技术支持合同，其中包括服务订阅，并能够连接到 FDN。

确定您的 FortiGuard 许可证状态

1 您的 FortiWeb 设备必须通过非透明的 Web 代理连接到 Internet，请配置代理服务器

连接，该设备将在启动时验证其许可证。如果设备无法连接 FortiGuard 服务器，可能

因为代理设置未配置，或因任何其他连接问题，如果问题解决了，你可以重新启动设

备重新尝试许可证的验证。

2 进入系统>状态>状态（要访问这部分的 web 用户界面中，在系统配置里，你的管理

员帐户访问配置文件必须有读取权限）。

3 在 FortiGuard 的信息窗口，查看 FortiWeb 安全服务行，FortiWeb 防病毒服务行和

FortiWeb IP 信誉服务行。

FortiGuard 的信息窗口：

通过 Web 代理访问 FortiGuard

使用 CLI，您可以配置 FortiWeb 设备通过非透明连接的 Web 代理服务器的 FortiGuard

分布式网络（FDN）签名更新。

例如，您可以输入以下命令：

config system autoupdate tunneling

set status enable

set address 192.168.1.10

set port 8080

set username FortiWeb

set password myPassword1

end

Fortinet 公司的 FortiGuard 间隔多久提供 FortiWeb 更新

越新的更新越安全。没有了最新的签名和黑名单，你的网络将很容易受到新的攻击。

但如果更新在充分测试前被发布并且不准确，FortiWeb 扫描将会导致误报。为了获得

最大的效益和最小的风险，更新必须在准确且最新中找到平衡。

Fortinet 公司将会根据每种技术的最佳频率发布 FortiGuard 更新。

•防病毒 - 每天多次，尽快更新可以降低风险，因为病毒会快速蔓延，大多数都使用最

新的。

•IP 信誉 - 每天一次，需要一定的时间来建立某些 IP 地址的声誉，但更新间隔时间过

长会增加黑名单，有一定的概率会发生无辜的客户机 DHCP/ PPPoE 得到先前由攻击者

租用的 IP 地址。

•攻击，数据类型，可疑的 URL，以及数据泄露签名 - 每隔 1-2 周，签名必须进行调

整，让其有足够的灵活性，以配合攻击特征，从而不会因为相似的合法 HTTP 请求或响

应而触发误报，签名必须再进行彻底测试，以分析所有的影响，并且无法完全匹配是

完整正则表达式引擎的固有风险。许多攻击和数据泄露特征也使用了 2 年或更长时

间，比大多数病毒特征使用时间更长。这增加了特征的价值，优化调整每个签名使得

它灵活且高效。

•地理位置到 IP 的映射 - 每月一次，这些改变很少。此外，FortiWeb 不能自动查询这

些更新，并自动应用它们。您必须手动上传更新。

预设签名自动更新

您的 FortiWeb 设备使用的许多功能都需要更新特征，IP 列表和数据类型的定义，包括

检测攻击，如：

•跨站点脚本（XSS）

•SQL 注入

•其他常见攻击

•数据泄漏

配置自动更新

1 验证 FortiWeb 设备具有有效的许可证，并可以连接到 FDN，或您所使用覆盖默认的

IP 地址为 FDN 服务器的 IP 地址。

2 进入系统>配置> FortiGuard （要访问这部分的 web 用户界面中，你的管理员帐户访

问配置文件必须有读取和写入权限）。

3 启用预设更新。

4 选择：

•Every - 选择请求更新每隔 1〜23 小时一次，然后选择每个更新请求之间间隔小时。

•Daily - 选择每天更新一次，然后选择小时。更新尝试将随机发生在选定的小时内。

•Weekly - 选择请求更新，每周一次，然后选择在一周中的哪一天的哪一小时的哪分钟

检查更新。（如果选择了 00 分钟，更新请求将发生在一个随机的时间在选定小时

里）。

5 点击 Apply 按钮。

手动发起更新请求

1 进入系统>配置> FortiGuard（要访问这部分的 web 用户界面中，你的管理员帐户访问

配置文件必须有读取和写入权限）。

2 单击立即更新。

上传签名和地理与 IP 更新

你可以手动更新地理与 IP 之间的映射以及攻击、病毒和僵尸网络签名，你的 FortiWeb

设备用于检测攻击。这些更新可确保您的 FortiWeb 设备可以检测到最近发现的这些攻

击的变化，而且它知道的所有 IP 地址的公共互联网上的当前状态。

恢复 FortiWeb 设备的固件后，您应通过 FortiGuard 的安装目前最新的可用软件包。恢

复固件安装的是当前的固件映像文件制作时的特征包：他们可能不再是最新的最新

的。

手动上传签名

1 从 Fortinet 技术支持网站下载文件：https://support.fortinet.com/

2 以 admin 管理员或管理员帐户登录到 FortiWeb 设备的 Web UI。

3 进入系统>配置> FortiGuard。

4 在旁边，你要上传的签名服务的行，单击更新链接。将显示一个对话框，允许您上

传的文件。

5 单击浏览按钮（其名称由浏览器而异），然后选择签名文件，然后单击确定。

1.13. 配置基本政策

在安装配置的最后一步，你必须至少配置一条策略。

本节包含的例子：

•例 1：为 HTTP 自动学习配置策略

•例 2：为 HTTPS 配置策略

•例 3：为负载均衡配置策略

例 1：为 HTTP 自动学习配置策略

1。在 FortiWeb 设备（服务器对象>服务器>虚拟服务器）的虚拟服务器创建策略。当

应用该策略时，它会接收并来自客户端的流量。

2。确定使用 IP 地址（Server 对象>服务器>物理服务器）或域名（Server 对象>服务器>

域服务器）定义你的 Web 服务器。来自该条策略使用的物理或域服务器的 Web 服务

器的 IP 地址的客户端流量将被转发。

3。创建一条新的策略（策略>服务器策略>服务器策略）。

•在名称中，键入策略的唯一名称。

•在虚拟服务器或数据采集端口，请选择您的虚拟服务器。

•在 HTTP 服务，选择预定义的 HTTP 服务。

•在物理服务器，请选择您的物理服务器。

•在物理服务器端口，如果你的 web 服务器不监听标准的 80 端口，输入 HTTP 流量使

用的端口号。

•从 WAF 自动学习资料，选择预定义的自学习曲线。

•从 Web 保护个人资料，选择预定义的内联保护配置文件之一。

4。使用自动学习报告，以确定自学习是否已经观察到足够的 URL、参数和攻击

5。生成一个初始配置（自动学习>自动学习报告>自动学习报告，然后单击生成配

置）。

6。如有必要，修改生成的配置文件，以适应您的安全策略。

7。修改策略，并在 Web 保护个人选择您生成的配置文件。

8。通过取消 WAF 自动学习资料自动学习概览，可以禁用自动学习。

例 2：为 HTTPS 配置策略

如果你想保护一个 HTTPS Web 服务器，而 FortiWeb 设备在反向代理模式下运行，配置

类似于例 1：通过配置自动学习对 HTTP 的政策。

设备能够扫描安全流量，但是 FortiWeb 设备也必须配置解密，并且必须提供服务器的

证书。

配置 HTTPS 策略

1。上传 Web 服务器的证书文件（系统>证书>本地）。

2。按照“例 1：通过自动学习配置为 HTTP 策略”的策略和配置来配置策略

3。修改服务器策略（策略>服务器策略>服务器策略）。

•在 HTTPS 服务，选择预定义的 HTTPS 服务。

•在物理服务器端口，如果你的 web 服务器不监听标准的 443 端口，输入 HTTPS 流量

使用的端口号。

•在证书中，选择你的 web 服务器的证书。如果适用的话还可以选择，证书验证和证书

中级组。

•启用 SSL 服务器。

例 3：为负载均衡配置策略

配置在多个服务器之间的负载，但是不是在一个单一的物理服务器上指定策略，而是

必须指定一组服务器（服务器集群）。

配置负载平衡策略

1。通过其 IP 地址（Server 对象>服务器>物理服务器）或域名（Server 对象>服务器>域

服务器）定义附加的 Web 服务器。

2。将一组 Web 服务器整合为一个服务器集群（Server 对象>服务器>服务器农场）。

它会告诉 FortiWeb 设备为哪些目标 IP 地址转发 Web 连接。

3。按照“例 1：通过自动学习配置为 HTTP 策略”的策略和配置来配置策略

4。修改服务器策略：

•在部署模式中，选择服务器负载。

•在负载均衡算法中，选择轮循或加权轮循。

1.14. 自动学习

保护设置可以手动或自动从学习协助里进行配置。

自动学习可以教你有关你的网络资源面临的威胁。它还可以帮助您了解您的 Web 应用

程序的结构，和最终用户如何使用它们。最重要的是，自动学习可以帮助您快速定制

FortiWeb 的配置，以满足您的 Web 应用程序。

如何适应自动学习到的动态 URL 和参数异常

当 Web 应用程序具有动态 URL 或不寻常的参数形式，你必须适应自动学习来识别它

们。

默认情况下，自动学习假设您的 Web 应用程序使用的最常见的 URL 结构：

•所有参数都在问号之后（？）。他们不会在井号（＃）或其他分隔符之后。

•如果有多个名称---值的对应，每对对应都由（＆）分隔。它们不会被（；）或其他分

隔符分隔。

所有的静态路径都在问号（？）之前，在输入时他们不会产生变化，再与路径及参数

混合（有时称为动态 URL）。

预定义的数据类型

FortiWeb 设备用正则表达式匹配参数的数据类型。这些正则表达式被归类为：

•预定义的 - 包含在固件的正则表达式集。这些符合常见的数据类型。除了通过

FortiGuard 不能被修改，但可以被复制并用作基础的自定义数据类型。可以使用两个自

动学习配置文件和输入规则。

•自定义 - 您为了检测到那些不能被预定义的集合识别的数据模式而配置的正则表达

式。可以修改。可以使用的输入规则，但是不能用于通过自学习访问。

辨识可疑的请求

FortiWeb 设备可以通过比较每个请求的特征来识别是否是攻击，但是它能识别出所有

的攻击么？

Web 应用程序的管理 URL 通常不应该接受访问公网上的客户端的访问，因为从互联网

上的源 IP 地址与网址的任何请求可能企图侦测你的 web 服务器，并进行攻击。（例

外情况包括托管服务提供商，其客户可能遍布全球，经常配置自己的 Web 应用程

序。）因此，从互联网管理的要求是可疑的：主机可能已被攻破了，或其管理权限已

经通过间谍软件，网络钓鱼，或社会工程等方式被盗取了。

配置自动学习概览

自动学习配置文件可以在服务器策略中与在线或离线保护文件中选择。任何攻击都会

被作为自动学习的数据对象被收集。

预定义的自学习配置文件，命名为默认自动学习资料，不能被编辑或删除。如果您不

希望配置自己的自学习配置文件，或者是不知道如何配置，你可以使用此配置文件。

或者，您可以使用它作为一个模板：选择克隆，然后修改克隆，然后在服务器策略选

择克隆。

1。在创建一个自动学习配置文件，您必须配置其组件。

2。去自动学习>自动学习资料>自动学习资料。

3。单击新建。

4。配置这些设置：


6。在服务器策略，选择自动学习可以学习到到保护个人资料和 WAF 的自动学习资

料。如果你不想在保护配置文件改变所有操作设置，也可使用监控模式。

7。为了确保该设备可以了解 HTTP/ HTTPS 请求的访问习惯和会话关联攻击和功能，在

保护配置文件启用会话管理选项。

8。按照“运行自动学习”继续配置

运行自动学习

一旦你配置并应用自动学习配置文件，你可以用它们来收集用来做自动学习的数据以

及建议配置。

使用自动学习形成配置建议

1。如果在 WAF 自动学习中选择了自动学习策略，请打开相关的服务器策略。

2。将流量路由到或者穿越 FortiWeb 设备，这取决于你设备的工作模式。

3。等待 FortiWeb 设备来收集数据。

4。定期审查自动学习报告，自学习过程中需要保持最新的评估进展。如果参数丢失，

自动学习是无法完成的。

5。如果有攻击一个异常的数字，或有误报，或者一些自动学习数据是不正确的，你可

以：

•微调自动学习配置文件，删除旧的自动学习数据，然后返回到上一步

•微调自动学习报告的参数产生的护配置文件

•下一步后，调整所产生的保护配置文件的设置

查看自动学习报告

自动学习>自动学习报告>自动学习报告显示，FortiWeb 设备已自动通过自学习配置文

件收集的信息生成了表。

1。去自动学习>自动学习报告>自动学习报告。

2。标记想要看的报告的复选框。

3。点击查看。

该报告显示，有两个窗格：

•左侧窗格中，您可以浏览整个网站和网址是报告的主体。

•右侧窗格包含显示报告数据标签。

从自动学习数据生成一个配置文件

当观看距自动学习数据生成报表，通过观察到的 HTTP 会话可以生成一个内嵌的保护配

置文件或离线的保护文件。如果某些观察会话并不代表典型的流量，你不希望包含在

生成的配置文件的元素，或者你想选择一个动作比默认的类型观察到的攻击，则可以

选择性地在攻击类型中修改动作。

使用自动学习数据配置一个配置文件


2。标记想要看的报告的复选框。

3。点击查看。

4。产看自学习的配置建议。

按钮和下拉列表中的报告显示窗格中可能会有所不同。

5。上面显示窗格中，单击生成配置。

出现一个弹出式对话框。

6。命名配置文件。

7。从配置文件类型中，选择要生成的网页配置文件类型，例如在线。


脱离自动学习阶段

当你改动了你的 Web 服务器，您可能会定期要为他们在一个较小的规模进行自动学

习。

例如，也许你会安装或更新一个 web 应用程序或 Web 服务器，从而导致新的结构和不

同的弱点。

然而，对于大多数日常使用的今天，自动学习应该被禁用，你应该充分应用保护规

则。

过渡到每天的日常使用

1。申请通过自动学习生成一个配置文件，在服务器策略在 Web 保护规则

2。如果，自动学习期间，在保护规则或及其附属部件的任何动作设置为预警和拒绝或

警报和擦除，验证这些相同的动作适用于您从自动学习数据生成的保护规则

3。如果需要的话，可以：

•手动调整生成的配置文件和它的组件，以满足您的安全策略。而不是设置动作来提醒

更多的严重违法行为，用阻断或重定向选项，如警报和拒绝。

•运行第二个的自动学习阶段，以优化您的配置：选择在 Web 保护规则的新生成的保

护规则，清除前一阶段的自动学习数据

4。修改策略，以在 Web 保护规则中选择您的新生成的配置文件。

5。要验证配置，测试它

6。当您完成收集自学习数据和生成你的配置，以提高性能，通过取消在 WAF 自动学

习规则中的所有服务器策略自动学习概览禁用自动学习。

7。禁用监控模式。

移除旧的自学习数据

在很多情况下，你可能需要删除旧的自动学习数据。

•您要释放磁盘空间和系统资源。

•您在您的 Web 服务器上安装了不同的 Web 应用程序，旧的自动学习数据，仍按以前

的执行，不再适用。

•您发起的自动学习，而它的 URL 替换配置是错误的，旧的自动学习数据结构，比如分

离了一个动态 URL 的多个实例，或缺少参数。

您可以删除旧数据。报告和自动学习概览产生的任何配置文件，然后将只学习后来收

集的数据。

删除自学习数据


2。 •要选择一个或多个报告，标记他们旁边的复选框。

•要选择所有报告，标记该复选框列的标题的复选框。

3。点击清除资料。

1.15. 测试安装

当配置完成后，在您的网络拓扑结构内不同的合法客户端和服务器端点之间的连接进

行测试。

在策略汇总工具中的 HTTP 流量监测部分

离线保护模式

切换工作模式，仅当您选择了离线保护模式进行评估或过渡时，当你第一次设置您的

FortiWeb 设备，现在要过渡到全面部署。

切换工作模式

1 。备份您的配置。

2 。断开除管理端口外的所有网线

3 。重新配置新的拓扑结构需要的网络接口的 IP 地址和路由。

4 。重新连接你的网络拓扑以适应新的模式。

5 。改变工作模式。

6 。进入路由>静态>静态路由。如果你的静态路由被删除，重新创建它们。

7 。进入系统>网络>接口。如果 VLAN 配置被删除了，重新创建它们。如果您选择了透

明模式之一，可以考虑创建一个 V 区桥来代替 VLAN 。

8 。转到策略> Web 保护政策>内嵌保护规则。创建引用在每个你以前的离线保护配置

文件的规则和政策的新的内联保护配置文件。

9 。转到策略>服务器策略>服务器策略。编辑现有的服务器策略，以引用新的内联保

护配置文件，而不是离线保护规则。

10.查看仪表板上的监控，以确保流量可以穿越新工作模式的设备。

11.当切换模式时之前的配置有可能会改变，包括保护规则，不要忘了重新测试。在此

之前的测试已经不再适用。

2. 备份

一旦你测试你的基本安装可以确运行，创建一个备份。这种“干净”的备份，可用

于：

•通过与该功能基线比较排除非功能配置

•快速安装还原到初始工作点

•批量配置 FortiWeb 设备通过编辑文件中的纯文本编辑器，然后上传最终确定配置到多

台设备

当你有新的工作部署，任何更改后，再次备份配置。这将确保你在新的配置不起作用

情况下，

能快速准确地还原配置到以前的状态。

通过 Web 用户界面备份配置

1。用管理员账户登陆 Web 管理界面

2。进入系统>维护>备份与恢复。

在页面的顶部显示上次备份的日期和时间。如果配置是从来没有备份或者恢复过固件

将没有日期和时间显示。

3。在备份/还原区域中，选择备份。

4。选择：

•备份整个 CLI 配置 - 备份核心配置。

•备份 Web 保护规则相关的配置 - 仅备份 Web 保护内容。

5。如果您想使用 128 位 AES 密码加密备份文件，在下载之前启用加密并输入密码。

6。单击备份。

2.1. 还原以前的配置

如果您已经下载配置备份，你可以上传一个备份文件到设备，用以将配置恢复到该备

份的时间点。

通过 Web 界面上传配置

1。进入系统>维护>备份与恢复。

2。选择恢复。

更改文件浏览，选择可用的备份文件。

3。在文件夹中找到文件的路径或文件名，或单击浏览以查找该文件。

4。如果备份已加密，提供原来备份配置时使用的密码，用以将其解密

5。单击恢复以开始对选定的配置到文件的恢复。

6。要继续使用的 web 管理界面，如果你没有改变的 IP 地址和网络界面的静态路由，

只需刷新网页并重新登录。

7。上传需要的辅助配置文件，如证书。

4 管理员

在其出厂默认配置，FortiWeb 有名为 admin 一个管理员帐户。此管理员拥有完全权限

FortiWeb 的功能权限。

配置一个管理员帐户

1 进入系统>管理>管理员。

2 单击新建。

出现一个对话框。

3 配置这些设置：

4 单击 OK（确定）。

4.1 配置访问控制列表

访问配置文件，用来确定管理员帐户的权限。

配置一个访问配置文件

1。进入系统>管理>访问配置文件。

2。单击新建。

3。在配置文件名称中输入一个可以通过配置的其他部分引用的唯一的名称。

4。配置权限选项。

5。OK（确定）。

4.2 群组管理员的远程认证查询

当使用 LDAP 和 RADIUS 查询验证 FortiWeb 管理员时，您必须将

管理员帐户编为一组，以便它可以配置管理员帐户时使用。

配置管理员远程认证查询组

1。在添加管理员组之前，你必须首先定义一个 LDAP 或 RADIUS 查询的结果集包括那些

管理员帐户。

2。进入用户>用户组>管理组。

3。单击新建。


4。在名称中，输入一个可以被其他部分调用的名称，如管理、远程认证等。不要使用

特殊字符。最大长度为 35 个字符。


在这个项目的新建按钮将不再是灰色的，表示它已经变得可用。

6。单击新建。

出现一个对话框，允许您查询添加到组中。

7。对于用户类型，选择该用户的 LDAP 或 RADIUS 用户查询类型。

8。从名称中，选择一个现有的 LDAP 或 RADIUS 查询的名称。


10。重复为每个查询你想要的时候使用此查询组的帐户尝试验证使用前面的步骤。

11.应用组查询，配置管理员帐户时，管理员用户组选择组名称

4.3 更改管理员密码

1。请以管理员帐号登陆。

2。进入系统>管理>管理员。

3。标记该行中的要更改其密码的帐户的复选框。

4。单击更改密码。


5。旧密码字段不会为其他管理员帐户所见。如果您使用不同的帐户登陆，但是在旧密

码字段中，请键入当前需要重设帐户的密码。

6。在新密码和确认密码字段中，键入新密码并确认其拼写。


5 用户

在 FortiWeb 设备上，用户帐户不能登陆 Web 管理界面。

5.1 认证方式

多种不同的方法存在最终用户与网站进行身份验证。这些方法具有不同的外观和功

能。

HTTP 身份验证和授权

配置和激活最终用户帐户

1。定义以下列方式中的一种或两种用户帐户：

•如果您要定义最终用户帐户上的 FortiWeb，为每隔用户创建一个用户名和密码。

•如果最终用户帐户凭据的远程认证服务器上已定义，配置查询到该服务器。

2。为集团账户创建用户组。

3。配置每个用户组认证规则。

4。组的认证规则即为成员的认证策略。

5。在内嵌的保护配置文件中选择认证策略。

6。在服务器策略选择在线保护配置文件。

配置本地终端用户帐户

FortiWeb 可以使用本地终端用户帐户对向被保护的网站发起的 HTTP 请求进行身份验证

和授权。

配置本地用户

1。进入用户>本地用户>本地用户。

2。单击新建。



5。要激活用户帐号，则必须间接地将其包含在管理 web 服务器连接的服务器策略中。

配置远程终端用户账户查询

FortiWeb 支持多个查询类型，而且可以查询存储在远程服务器上的帐户并用来验证用

户身份，

而不是只能在 FortiWeb 本地账户中查询并认证。

在为一些被授权访问特定的 URL 的人配置 HTTP 认证时，你必须为他们创建一个用户组

用户组可以包括本地最终用户帐户，LDAP 查询，RADIUS 查询，和 NTLM 查询的混合

物。因此在 FortiWeb，用户组可以设置帐户。

配置用户组

1。在您配置用户组之前，必须先配置一个或多个本地最终用户帐户或远程认证服务

器。

2。进入用户>用户组>用户组。

3。单击新建。




5。在验证类型，选择身份验证类型之一：

•基本 - 清除文本。这是 HTTP 的原件和最兼容的认证方案。然而它也是最不安全的，

因为它发送未加密的用户名和密码给服务器。

•摘要 - 加密的密码，因此比基本身份验证更安全。

•NTLM - 使用微软的专有协议，被认为比基本身份验证更安全。


在这个项目的新建按钮将不再是灰色的，表示它已经变得可用。

7。单击新建。

出现一个对话框，允许您将成员添加到组中。

8。在用户类型中，选择您要添加到组中的用户或用户查询的类型。可以选择想要的认

证类型选项。

9。从用户名，选择一个现有的用户帐户的名称，LDAP 查询，或 RADIUS 查询。


11。为您要添加到组中的每个用户重复前面的步。

12。选择用户组授权规则。

在认证范域中应用用户组

HTTP 认证策略使用认证规则来为每隔最终用户组定义那些将被认证的 URL 请求。

配置认证规则

1。在你配置认证规则之前，你必须先配置一些你想包含在规则里的用户组

2。去应用交付>认证策略>验证规则。

3。单击新建。




5。如果你想要求主机：字段中的 HTTP 请求，以符合 HTTP 认证规则受保护的主机条目

匹配，请执行以下操作：

•启用主机状态。

•从主机中，选择受保护的主机条目（或者一个虚拟主机名或 IP 地址）主机：HTTP 请

求的字段必须包含在被保护的主机组名称列表里。


7。单击新建。




10。为您要添加到组中的每个用户重复前面的步。

11.在认证策略里将认证规则编辑成组

5.2 单点登录（SSO）

如果您的用户需要访问你的域名的多个 Web 应用程序，并且您在 LDAP（如 Microsoft

Active Directory）或 RADIUS 服务器上定义了用户账户

您可能需要配置单点登录（SSO）和组合访问控制和认证（在 GUI 中被称为“网站发

布”）而不是配置简单的 HTTP 身份验证规则。SSO 提供了一个好处，当启用 SSO 时可

以通过 HTTP 身份验证规则来一次性完成所有的认证，用户不必每次进行身份验证，他

们访问你的域名独立的 Web 应用程序。当 FortiWeb 收到第一个请求时，它会返回（具

体取决于您的配置），一个 HTML 表单的身份验证或 HTTP WWW 身份验证：代码给客

户端。

FortiWeb 转发在用户端的认证到认证服务器。一旦客户端身份验证成功，如果你已经

配置 FortiWeb 插件（FortiWeb 转发证书的 Web 应用程序）。服务器的响应被返回到

客户端。直到会话过期，从客户端在同一个域中相同或其他 Web 应用程序的后续请求

不要求在客户端再次进行身份验证。

为认证配置 SSO

1。在您可以配置 SSO 之前，您必须先为最终用户配置查询

2。去应用交付>网站发布>网站发布规则。

3。单击创建新，并配置以下设置：


5。去应用交付>网站发布>配置发布规则。

6。单击新建。



8。单击创建新和规则，选择一个站点发布规则的名称。

9。为每个 Web 应用程序重复前面的步骤，这将是 SSO 域的一部分。


11。在在线 Web 保护规则中选择发布策略

12。验证配置，登录的 Web 应用程序之一，然后在同一个域中的另一个 Web 应用程

序上登录。

6 定义你的 WEB 服务器和负载平衡

正确运用政策和准确的记录，重要的是，FortiWeb 知悉网络上的某些其他点。

为了扫描您的 Web 服务器流量，首先 FortiWeb 必须知道哪些 IP 地址和 HTTP 主机。如

果在您的客户端和你的 FortiWeb 之间的网络中有代理服务器和负载均衡器，你还需要

定义它们。同样，如果你的 Web 服务器有些功能需要使用客户端的源 IP，您可能还需

要配置 FortiWeb 使其能将这些信息传递给您的 Web 服务器。

如果没有这些定义，FortiWeb 不会知道所有的事情，比如请求无效的主机名，而外部

负载均衡器代替客户端的源 IP 去请求，这时就会产生错误的日志和报告。

6.1 被保护的 WEB 服务器与允许/保护的主机名

如果你在 Web 服务器上有虚拟主机，多个网站使用不同的域名（如 example.com，

example.co.uk，example.ru，example.edu）共存于同一台物理计算机上使用一个 Web

服务器守护进程。该计算机可以有一个单一的 IP 地址，让多个 DNS 名称解析指向同一

个 IP 地址，或者计算机可以有多个 IP 地址和多个网卡，再将不同的域名解析到不同的

网卡上。

正如有可能是单个 Web 服务器有多个主机名，也有可能是相反：单个主机名对应多个

Web 服务器。（这可能是分布式计算集群和服务器群的情况。）

可以配置 FortiWeb，web 服务器在网络层使用单个 IP，但保护客户端访问 HTTP 层时对

应的所有的网络 IP 地址、虚拟 IP 以及域名。

6.2 定义保护/允许的 HTTP“主机”头名

设定受保护的主机组

1。转到服务器对象>被保护的服务器>被保护的服务器。

2。单击新建。




4。默认操作，选择是否接受或拒绝不匹配任何受保护的主机组中定义的主机的 HTTP

请求


6。如果你想以不同的方式处理一个或多个主机，单击新建。


7。在主机上，输入真实主机或虚拟主机的 IP 地址或 FQDN，要符合 HTTP 请求里的主

机字段

8。在行动中，选择是否接受或拒绝 HTTP 请求的主机，主机要匹配这个主机字段


10。为您要添加到受保护的服务器组中的每个主机重复前面的步骤。

11. 在服务器策略选择它应用到受保护的主机组，

6.3 定义你的 WEB 服务器

你可以通过它们的 IP 地址和/或 DNS 域名指定后端 Web 服务器。这些 Web 服务器将从

FortiWeb 得到保护，并且流量都是经过 FortiWeb 代理或者过滤的。

通过 IP 地址定义你的 Web 服务器

配置一台物理服务器

1。服务器对象>服务器>物理服务器。

2。单击新建。




4。在 IP 地址框中，键入物理服务器的 IP 地址


6。记得使用物理服务器，无论是在服务器策略中选择它，还是将它加入一个服务器集

群在服务器策略中选择它。

通过它的 DNS 域名定义你的 Web 服务器

配置域服务器

1。服务器对象>服务器>域服务器。

2。单击新建。




4。在域中，键入域服务器名称，例如 example.com。


6。记得使用物理服务器，无论是在服务器策略中选择它，还是将它加入一个服务器集

群在服务器策略中选择它。

6.4 配置服务器启动/关闭检查

测试服务器的可用性（在 Web UI 中称为“服务器健康检查”），转发流量之前，在服

务器集群中的每个 Web 服务器轮询，以确定它们的响应速度。服务器健康检查可以使

用 TCP，HTTP / HTTPS，或 ICMP ECHO_REQUEST (ping).

配置服务器健康检查

1。在配置服务器健康检查前，如果它需要使用触发器，您必须首先配置触发器。

2。服务器对象>服务器健康检查>服务器健康检查。

3。单击新建。




6。在策略中调用服务器健康检查，用服务器健康检查来监测服务器集群中各个成员的

状态。

6.5 将您的 WEB 服务器组成服务器集群

定义一组物理及域名服务器（Web 服务器）的服务器集群，FortiWeb 设备可以将连接

分配到或者连接将转发到该集群，这取决于 FortiWeb 设备的操作模式。（反向代理

模式支持;离线保护和透明两种模式不支持。）

配置服务器集群

1。在配置服务器集群之前，则必须先定义 Web 服务器，它将是服务器集群的成员。

2。服务器对象>服务器>服务器场。

3。单击新建。




6。单击新建。



8。为每个要添加到服务器集群的 Web 服务器重复前面的步骤。


10.在服务器策略中选择它，以应用该服务器群。

6.6 定义你的代理服务器，客户端，及 X-HEADERS

在某些拓扑结构中，您必须配置 FortiWeb 使用 X-headers 的如 X-Forwarded-For，X-

Real-IP， True-Client-IP 包括：

•FortiWeb 已经被部署在用于 NAT 的代理或者负载均衡设备后端。这会导致所有的请求

显示为代理或负载平衡器的 IP 地址，而不是初始的客户端 IP。 FortiWeb 需要真正的

客户端的源 IP，以便阻止攻击的时候，它不会阻止代理或负载均衡器设备，从而影响

到正常的请求。 FortiWeb 还需要一些方法来获得原始客户端的 IP，这样的攻击日志和

报告，以显示实际的攻击者的 IP，而不是负载平衡器。

•Web 服务器需要初始客户端的源 IP 地址用来进行分析，但 FortiWeb 工作在反向代理

模式，它适用于 NAT，因此所有请求显示为来自 FortiWeb 的 IP 地址。

FortiWeb 设备可以将初始客户端的源 IP 信息转发给后端的设备使用，比如用于后端的

Web 服务器对初始客户端进行统计或者分析等。

6.7 在您的 FORTIWEB 设备上配置虚拟服务器

您可以创建服务器策略，首先需要配置定义网络接口或桥接器和 IP 地址，其中发往单

个的 Web 服务器或服务器集群的流量将到达一个虚拟服务器。当 FortiWeb 设备接收到

发往虚拟服务器的流量时，它就可以将流量转发到一个单一的 Web 服务器，或分发给

服务器集群中的服务器。

配置虚拟服务器

1。服务器对象>服务器>虚拟服务器。

2。单击新建。




4。在 IP 地址框中，键入虚拟服务器的 IP 地址和子网掩码。

5。在接口方面，选择网络接口或桥与虚拟服务器绑定，这样发往目的 IP 的流量将虚

拟服务器。


7。定义虚拟服务器的侦听端口，创建自定义服务

8。要使用虚拟服务器，在选择它的同时还要在服务器策略中定制服务。

6.8 定义定制化服务

配置自定义服务

1。服务器对象>服务>自定义。

2。单击新建。




4。键入服务的端口号


6。要使用自定义服务定义来定义的 FortiWeb 虚拟服务器的侦听端口，在配置策略时

选择它作为 HTTP 服务或 HTTPS 服务

6.9 启用或禁用流量转发到你的服务器

您可以单独启用和禁用 HTTP/ HTTPS 流量的 FortiWeb 的转发到您的 Web 服务器。标记

或清除任何启用复选框：

•服务器对象>服务器>虚拟服务器

•服务器对象>服务器>物理服务器

•服务器对象>服务器>域服务器

禁用流量转发到 web 服务器

7 安全连接（SSL / TLS）

当 FortiWeb 设备发起或接收 SSL 或 TLS 连接时，它会使用证书。证书可以在 HTTPS 连

接中使用：

•加密

•解密和检查

•客户端身份验证

•服务器的身份验证

7.1 卸载与检验

取决于 FortiWeb 设备的操作模式，FortiWeb 可以作为 SSL / TLS 的终结处，而不必沿整

个路径到后端服务器一直都是加密隧道，客户端的 HTTPS 请求进行加密/解密的中途沿

其路径服务器，当它到达 FortiWeb。 FortiWeb 则通常将未加密的 HTTP 流量转发到你

的服务器。当服务器应答，服务器通过明文 HTTP 连接到 FortiWeb。 FortiWeb 然后将

加密的响应和通过 HTTPS 将其转发给客户端。

通过这种方式，FortiWeb 承担负载进行加密处理，而不是你的后端服务器，使他们能

够有更多的资源专注于网络应用程序本身。这就是所谓的 SSL 卸载。

7.2 支持的加密算法和协议版本

HTTPS 连接有多安全？

一部分是物理因素，如限制访问私钥解密的流量。另一部分是加密。

安全连接的协议版本和加密算法，包括加密位强度和加密算法，客户端与 SSL / TLS 终

结端协商的握手过程。

在哪个设备上终结 SSL 连接取决于 FortiWeb 操作模式。它可以：

•终结在 FortiWeb（如果 FortiWeb 设备做 SSL 卸载）

•终结在 Web 服务器（如果 FortiWeb 只做 SSL 检查）

还根据操作模式而有所不同。

例如，在线保护模式，FortiWeb 是 SSL 终结，支持：

• SSL 2.0 (disabled by default for security reasons)

• DES-EDE3-CBC-MD5 — 192-bit

• DES-CBC-MD5 — 64-bit

• SSL 3.0

• AES-SHA — 256-bit & 128-bit

• DES-CBC3-SHA — 168-bit

• TLS 1.0

• AES-SHA — 256-bit & 128-bit

• DES-CBC3-SHA — 168-bit

7.3 上传信任的 CA 的证书

为了验证其他设备的证书，FortiWeb 可以信任 CA 证书。在你上传 CA 证书之前，

FortiWeb 无法信任任何的 CA，它不能验证其他客户端或设备的证书，并且所有那些安

全连接将失败。

上传 CA 证书

1。获取您的 CA 证书文件。

例如 Microsoft 的 CA 证书服务器主页

2。进入系统>证书> CA。

3。上传一个证书，单击导入。


4。选择一个证书。


6。在客户端个人证书验证时使用证书

7。测试您的配置

7.4 将信任 CA 的证书编组

配置 CA 证书组

1。在你创建一个 CA 组之前，您必须上传您要添加到组中的证书。

2。进入系统>证书> CA 组。

3。单击新建。





6。单击新建。


7。在 ID 字段中输入该组的索引号，或保持默认的 auto 设置，让 FortiWeb 设备自动分

配下一个可用的索引号。

8。选择之前上传的你希望添加到该组的证书，。


10。为您要添加到组中的每个 CA 证书，重复前面的步骤。

11。在帧数验证策略中选择证书组以便应用它。

7.5 如何卸载或检查 HTTPS

在系统>证书>本地处可以显示所有存储在本地的 X.509 服务器证书，在 FortiWeb 设备

上用于卸载或扫描 HTTPS。

系统>证书>本地

生成证书签名请求

生成证书签名请求

1。进入系统>证书>本地。

2。单击生成。


3。配置证书签名请求：


5。选择对应的证书请求。

6。点击下载。

7。上传证书请求到 CA。

8。如果您没有安装商业 CA 默认的 Web 浏览器的根证书，下载您的 CA 根证书，然后

在连接到您的设备的所有计算机上安装它。

9。当您从 CA 收到的签名证书，将该证书上传到 FortiWeb 设备

7.6 上传服务器证书

在上传证书到 FortiWeb 设备之前，在证书中添加一个签名链。

1。在纯文本编辑器中打开证书文件。

从签署的本地证书的中介 CA 证书直接由受信任的根 CA 签署的中介 CA 追加每个中介

CA 的证书。

-----BEGIN CERTIFICATE-----

<server certificate>

-----END CERTIFICATE-----


<certificate of intermediate CA 1, who signed the server certificate>



<certificate of intermediate CA 2, who signed the certificate of

intermediate CA 1 and whose certificate was signed by a trusted root

CA>


3。保存该证书。

上传证书

1。进入系统>证书>本地

2。单击导入。




5。要使用证书，则必须在策略或服务器集群中选择它

7.7 如何强制客户端使用 HTTPS

大多数用户都没有意识到协议和安全的重要。即使你的网站提供安全服务，用户仍然

会尝试使用 HTTP 访问 Web 站点。

强制客户端只能通过 HTTPS 连接

1。如果想要重定向尝试使用 HTTP 的客户端请求，需要配置 HTTP 到 HTTPS 的重定

向。

2。在配置服务器策略时，开启 Add HSTS Header 并配置 Max. Age.

7.8 如何应用 PKI 客户端身份验证（个人证书）

如果您的客户端将使用 HTTPS 连接到您的网站，您可以配置 FortiWeb 来要求客户端在

握手时出示个人证书，以确认他们的身份。这种认证有时被称为公钥基础结构（PKI）

认证

双向认证

PKI 认证依赖于这些因素确认身份：

•唯一私钥 - 像所有的 X.509 证书，客户端的身份只能是唯一的，在于客户端有该证书

的私钥。私有密钥是一个文本字符串，随机，有一个难以猜测其对应的公钥关系。因

此，它具有密码所缺乏的加密保护。

•非对称加密 - 公钥加密是一种非对称加密：它是基于两个不同的密钥，以及一些复杂

算法。

RSA 算法

配置客户端 PKI 认证

1。从 CA 获得个人的客户端证书及它的私钥。

2。下载 CA 的证书，其中包含其公用密钥，因此可以验证任何 CA 签署的个人证书。

3。客户端上安装个人证书与其私有密钥。

4。上传 CA 证书到 FortiWeb 的信任存储。

5。如果你有一个证书吊销列表或 OCSP 服务器，配置 FortiWeb 调用它

6。根据 FortiWeb 当前的操作方式，无论是配置服务器策略或服务器集群验证客户端

证书时都需要考虑 CA 证书和 CRL

7。配置服务器策略来接受 HTTPS

示例：在微软 Windows 2003 服务器生成和从下载个人证书

1。在您的管理计算机上，启动 Web 浏览器。

2。进入：

https://<ca-server_ipv4>/certsrv/

<ca-server_ipv4> 是证书服务器的 IP 地址

3。用管理员账户登录

4。单击“申请一个证书”的链接。

将弹出一个证书页面

5。单击“高级证书申请”的链接。

出现高级证书申请页面。

6。单击“创建并提交请求到此 CA”的链接。

出现证书请求模板。

7。在证书模板下拉列表中，选择客户端身份验证模板

8。在名称字段中，键入代表最终用户的名称。

9。点击提交。

10。如果出现“警告您该网站是你申请新证书”的消息，，请单击 Yes 继续。

一旦 CA 服务器生成请求的证书，会出现该证书已颁发的窗口。

11。单击链接安装此证书。

12。如果出现“警告您该网站将添加一个或多个证书到您的计算机”的消息，请单击

Yes 继续。

此时将出现证书已安装窗口。

13.回到 Microsoft 证书服务（MSCS）获取证书的主页，然后为每个需要使用 PKI 认证

的最终用户，重复步骤 4 至步骤 12。

示例：从微软 Windows2003 服务器下载 CA 证书

1。在您的管理计算机上，启动 Web 浏览器。

2。进入：

https://<ca-server_ipv4>/certsrv/

<ca-server_ipv4> 是证书服务器的 IP 地址

3。用管理员账户登录

4。单击“下载 CA 证书、证书链或 CRL”的链接。

下载会出现一个 CA 证书、证书链或 CRL 的页面。

5。选择 Base64 编码方法，。

6。单击下载 CA 证书。

7。如果你的浏览器提示您，选择一个位置来保存 CA 证书文件。

7.9 上传 CA 证书到 FORTIWEB 的可信 CA 存储

为了让 FortiWeb 能验证 CA 签发的客户端个人证书，连接建立时，CA 的证书必须存在

于 FortiWeb 的可信 CA 证书存储区。

您必须：

•将签发证书的 CA 和所有中间 CA 所签发的所有证书上传到 FortiWeb 的存储

•将所有的个人证书包括完整的签名链发布到 FortiWeb 已知的 CA，以证明该客户的证

书应该是可信的。

配置 FortiWeb 来验证客户端证书

配置证书验证规则

1。在你配置一个证书验证规则之前，必须先配置一个 CA 组。您可能还需要配置：

•OCSP

•上传 CRL 文件

如果你需要明确撤销一些无效或损害的证书。

2。进入系统>证书>证书验证。

3。单击新建。




6。选择一个证书验证规则，以便在服务器策略或包含 HTTPS 服务的服务器集群中调用

它。

7.10 吊销证书

查看或上传 CRL（证书吊销列表）文件

1。进入系统>证书>的 CRL。

2。上传一个 CRL 文件，单击导入。


3。请执行下列操作之一来定位 CRL 文件：

•选择 HTTP，然后输入 HTTP 站点提供的 CRL 服务的 URL。

•选择 SCEP，然后输入适用的简单证书注册协议服务器的 URL。

•选择本地电脑，然后浏览找到证书文件。


5。为需要使用 CRL 的 PKI 认证客户端，在证书验证规则里选择 CRL

通过 OCSP 查询吊销证书

查看或上传远程证书

1。进入系统>证书>远程。

2。要上传的文件，单击导入。


3。单击浏览并找到一个 OCSP 兼容的证书文件。

4。单击浏览窗口中打开选择文件。


6。配置证书验证规则时，选择的 OCSP

如何导出/备份证书和私钥

因为你的 X.509 证书对于 FortiWeb 保护 HTTPS 访问是至关重要的，准备一个完整的

FortiWeb 备份时，请确保您的证书都包括在内。如果 FortiWeb 硬件故障，这将最大限

度地减少你重新更换设备是所用的时间。

从 Web UI 手动进行备份时证书及其私钥不包括在内。你必须通过以下途径备份：

•CLI 中的 TFTP 服务器。

•通过 Web 界面或 CLI 配置计划，定期上传到 FTP 服务器。

8 访问控制

您可以在可以客户端访问您的Web 应用程序时控制其能否访问以及限制其请求的速

率。有多种方法可以做到这一点，这取决于你的目标基于是 URL、客户端的源 IP 或更

复杂的东西。

8.1 限制访问特定 URL

配置 URL 访问规则

1。进入 Web 防护>门禁> URL 访问规则。

2。单击新建。




5。单击创建新的一个条目添加到该集合。




8。为您要添加到 URL 的访问规则中的每个个体，重复上述步骤。

9。进入 Web 防护>门禁> URL 访问策略。

10。单击新建。


11。在名称中，输入一个可以被其他部分调用的名称，如管理、远程认证等。不要使

用特殊字符。最大长度为 35 个字符。


13。单击新建一个条目添加到该集合。


14.优先级，相对于其他的规则，在这个规则里优先级数字较低的规则将被优先使用。

15.在访问规则名称下拉列表中，选择一个已有的 URL 访问策略名称。


17.为您要添加到 URL 的访问策略中的每个单独的规则，重复上述步骤。

18.在在线或离线的保护配置文件中选择它来应用的 URL 访问策略

8.2 结合访问控制和速率限制

配置高级访问控制规则

1。进入网页防护>高级保护>自定义规则。

2。单击新建。






6。在过滤器类型里选择请求必须匹配的条件，然后单击确定。

7。单击确定退出子对话框并返回到规则配置。

8。为需要添加到访问规则中的每个单独的标准，重复前面的步骤。例如你可以要求访

问请求必须同时匹配 HTTP 头和客户端源 IP 两个条件，才允许访问。

9。点击 OK 保存规则。

10。进入 Web 保护>高级保护>自定义策略。

11。单击新建，在策略里将高级访问规则编辑成组。

12。象自定义访问控制一样，在保护规则里选择该机访问策略以应用它

8.3 黑名单客户和白名单客户

您可以基于源 IP 地址来阻止客户端的请求，FortiGuard 已经知道这些 IP 目前的信誉，

或属于哪个国家或地区。

反之，你也可以从策略包含的常规扫描里将其例外。

列入黑名单的信誉较差的源 IP

手动识别和拦截所有已知的攻击者在世界将是一个不可能完成的任务。要阻止：

•僵尸网络

•垃圾邮件发送者

•钓鱼网站

•恶意蜘蛛/爬虫

•病毒感染的客户端

•使用匿名代理客户端

•DDoS 攻击的参与者

您可以配置 FortiWeb 使用的 FortiGuard IP 信誉。 IP 信誉利用多种技术准确、快速地确

认恶意客户端的频繁更新的标识，因而可以在攻击发生前将其阻止。这些数据收集了

世界各地的众多的有威胁的客户端，包括：

•FortiGuard 的服务统计

•蜜罐

•僵尸网络取证分析

•匿名代理

•在安全社区第三方来源

配置策略

1。如果你需要排除某些误报的客户端的公网 IP 地址，首先配置 IP 信誉豁免。进入 IP

信誉> IP 信誉>例外。

2。进入 IP 信誉> IP 信誉>策略。

3。在状态列中，对信誉差的客户类别，要阻止和/或记录日志。

4。类似配置的攻击特征，同时配置操作、阻止时间、严重性以及触发操作。

5。点击 Apply 按钮。

6。在被策略使用的保护规则里启用 IP 信誉，以应用你的 IP 信誉策略。

列入黑名单的国家和地区

虽然许多网站是真正的全球性的，但是具体到一个地区，政府 Web 应用只给其居民提

供服务。在这种情况下，有些请求来自世界其他地区请求源，它可能没有接收安全风

险评估。

•它们可能会是 DDoS 攻击、僵尸网络和网络黑客流量的主要来源。

•匿名 VPN 服务可能被用来掩盖攻击者，实际上是你自己的国家内的真实源 IP。

在这种情况下，维护客户端黑名单将耗时巨大且难以维持，还可能发生 PPPoE 或公网

IP 地址的其他动态分配造成重新使用的无辜客户端的 IP 被阻止。

根据地理位置配置阻断

1。确认客户端的源 IP 地址 FortiWeb 都是可见的，无论是在 X-headers 或 IP 层的

SRC。

2。如果你希望当一个被列入黑名单的客户端尝试连接到您的 Web 服务器时，可以触

发创建日志消息和/或报警邮件的那个动作，请首先配置触发器。

3。进入 Web 防护>门禁>地理 IP。

4。单击新建。




7。单击新建。

8。从左边的备选国家列表中，选择要阻止一个或多个地理区域，然后单击右箭头将其

移动到右边的选定国家列表。


该网站的用户界面返回到初始对话框。


11.在保护配置文件中选择，以启用地理阻止规则

通过源 IP 将个别客户列入黑名单或白名单

您可以定义源 IP 地址是可信的客户端、不确定或不信任。

为单独的源 IP 配置策略

1。如果你希望当列入黑名单客户端试图连接到 Web 服务器时可以触发创建一个日志

消息和/或报警邮件，首先需要配置触发器。

2。进入 Web 防护>门禁> IP 列表。

3。单击新建。









9。为需要添加到 IP 清单的每个单独的 IP 列表成员，重复前面的步骤。

10.在在线或离线的保护配置文件中选择它，以启用 IP 列表。

将内容修改、搜索引擎、网络爬虫与其他机器人列入黑名

单

您以使用 FortiWeb 功能控制互联网的机器人访问，如：

•搜索引擎索引

•自动化工具，如链接检查器，网络爬虫和蜘蛛

9 速率限制

除了可以控制客户端对 URL 的访问，还可以控制访问的平率。这对防止探测和密码暴

力破解攻击尤为重要。

9.1 DOS 防护

您可以保护您的自愿免受拒绝服务（DoS）攻击。

主要是通过限制访问应用的速率来防止来自（OSI）模型的 DoS 攻击：

•应用层（HTTP 或 HTTPS）

•网络层和传输层（TCP / IP）

应用层 DoS 攻击防护

1。当 FortiWeb 设备接收来自任何客户端的第一个请求，它增加了一个会话 cookie 来

响应来自以便在 Web 服务器来跟踪会话。客户端将包括在后续请求中的 cookie。

2。如果客户端的会话超时之前发送另一个请求，FortiWeb 会检查请求的会话 cookie。

•如果 cookie 不存在，或者它的值已更改，FortiWeb 设备会丢弃该请求。

•如果相同的 cookie 存在，请求被视为同一会话的一部分。 FortiWeb 递增从客户机请

求的连接计数。如果速率超过限制，FortiWeb 会丢弃额外的连接或请求。

网络层 DoS 攻击防护

DoS 攻击防护>网络子菜单中，您可以在网络层配置 DoS 保护。

将 DoS 保护规则编组

在您通过保护规则在服务器策略里应用 DoS 保护规则组之前，你必须先创建 DoS 保护

规则组

配置 DoS 保护政策

1。在您配置 DoS 攻击防护策略之前，必须先配置你需要的规则，例如：

•浏览器施行细则

•HTTP 请求泛洪防护

•HTTP 请求速率限制

•每个会话的 TCP 连接

•TCP 连接泛洪防护

2。进入 DoS 保护> DoS 保护政策> DoS 保护政策。

3。单击新建。




5。从即时浏览器执行，选择一个规则。

6。如果你想使用用户会话 cookie 功能，需开启“基于 HTTP 会话的防护”。

7。如果您想根据请求或连接数来限制流量，需开启“基于 HTTP 网络的防护”。


9。在在线保护规则中选择 DoS 保护策略，以启用该策略，

9.2 防止自动请求

因为恶意用户经常改变他们请求字段中的 HTTP 标头，以模仿无害的客户，用浏览器的

自动化工具并不是不排除他们的可靠方法。

配置强制真实浏览器

1。如果你想在您的浏览器的执行规则里添加例外，首先创建例外。

2。去 DoS 保护>应用>即时浏览器执行。

3。单击新建。




6。将应用在保护规则里的 DOS 保护策略中的策略编辑成组。

7。在保护规则里开启会话管理选项

示例：防止捕获电子邮件目录

为了阻止这种攻击，你可以策略性地要求只有网页浏览器可以连接：

配置如下浏览器执法规则：

配置浏览器执行例外

如果某些 URL 都是分隔独立的，为提高浏览器的速率限制，可以为浏览器执行规则配

置例外。

配置真实浏览器执行例外

1。进入 DoS 保护>应用>即时浏览器执行例外。

2。单击新建。





5。单击新建。




8。要应用这个例外，请在一个即时浏览器执行规则中调用这个例外

9.3 防止暴力破解登录

FortiWeb 可以防止暴力破解登录攻击。

蛮力攻击者试图通过客户端或大量的计算资源，尝试渗透系统，而不是预先了解应用

程序的逻辑或数据。

配置蛮力登录攻击防护

1。在配置暴力登录攻击规则之前，如果你想把它仅用于一个特定的实体或虚拟主机的

HTTP 请求，你必须首先定义一个受保护的主机组的虚拟主机。

2。进入 Web 防护>访问>暴力破解。

3。单击新建。







9。为您要添加到暴力攻击登录保护中的每一个登陆页面，重复前面的步骤。

10。在在线保护规则中选择它，以调用暴力破解登录攻击规则

10 重写和重定向

重写或重定向在 HTTP 请求和响应是很常见的，由于很多原因都可能需要重写或重定

向。

例如，访问一个博客网页时，它的 URL 可能是：

http://www.example.com/wordpress/?feed=rss2

这样我们就可以很容易的知道文件名，兵器知道该博客使用 PHP，那么通过它兼容的

数据库类型和参数，攻击者就可以精心制作出针对该平台的攻击。通过 URL 重写可以

更少的暴露网页相关信息，很过详情也可以被隐藏：

http://www.example.com/rss2

远多于他们的名字的暗示，“URL 重写规则”可以做以下这些事情或者更多：

•HTTP 请求重定向到 HTTPS

•重写 URL 行中的 HTTP 请求的报头

•重写主机：现场在 HTTP 请求的报头

•重写的 Referer：外地在 HTTP 请求的报头

•将请求重定向到另一个网站

•发送 403 禁止响应匹配的 HTTP 请求

•重写 HTTP 位置线在从 Web 服务器匹配的重定向响应的头

•重写从 Web 服务器的 HTTP 响应的主体

配置重写/重定向规则

1。进入应用交付> URL 重写政策> URL 重写规则。

2。单击新建。




4。在动作类型里，选择此规则是否将改写来自客户端的 HTTP 请求（请求动作）或从

Web 服务器的 HTTP 响应（响应操作）。

5。如果您选择请求操作的动作类型，在请求操作下拉列表中，选择下列选项之一：

•重写 HTTP 头 - 设备将请求传递到 Web 服务器之前重写 HTTP 请求头的一部分。

•重定向（301 永久）或重定向（302 临时） - 在本地，键入一个 URI，如：

http://www.example.com/new-url，FortiWeb 设备上启用 301 永久移除或 302 临时移除

重定向从 HTTP 响应。

•发送 403 禁止 - 返回一个 403 禁止响应给客户端。

6。如果您选择响应行动的动作类型，在响应动作下拉列表中，选择下列选项之一：

•重写 HTTP 正文 - 在更换，键入将在 HTTP 响应的正文内容替换字符串

•重写 HTTP 的位置 - 在位置，键入一个 URI，如

7。点击新建添加匹配条件的规则，URL 重写条件表。



9。如果从对象选择了 HTTP 引用，还需配置以下内容：


11。直到你定义了所有匹配的 HTTP 请求或在本规则中定义应该重写反应，重复前两个

步骤。

12。在 URL 重写规则里编组 URL 重写策略

13。如果您要重写一个来自 Web 服务器的响应，但它被压缩了，配置一个解压的规则

让 FortiWeb 能够重写。

10.1 示例：重定向 HTTP 到 HTTPS

Example.com 是一个面向企业的社交媒体提供商。其客户要求攻击者无法欺诈发表评

论。如果攻击者可以伪装发表来自客户评论，可能会毁掉一个企业的声誉。

要做到这一点，example.com 将应用重写规则，匹配所有的 HTTP 请求，而不管主机名

称的变化或 URL，如：

http://www.example.com/login

http://www.example.co.jp/

并将其重定向到其安全站点网址：

https://www.example.com/login

https://www.example.co.jp/

这可以通过 CLI 或 web 用户界面进行配置：

CLI 命令来实现这个的：

10.2 示例：完整主机名称或地址的转换

Example.com 希望翻译它的域名：外部 DNS 名称应该被重写为内部 DNS 名称，反之亦

然。

要做到这一点，它创建了一套 3 重写规则，每个部分 FortiWeb 都必须重写。

例如请求的主机名改写

10.3 示例：消毒中毒的 HTML

Example.com 是刚刚买了好几台 FortiWeb 的一个云托管服务提供商。数以千计的客户

依靠它来维持数据库支持的 Web 服务器。FortiWeb 加入其网络之前，其网络服务器经

常被受到攻击。由于没有 HTTP 入侵检测和过滤，这些攻击者通过在登陆页面提交含攻

击代码的登录信息通过 XSS 注入存储，毒害了它许多 Web 应用程序。

要做到这一点，FortiWeb 将改写注入攻击：

从受感染的 Web 服务器响应的空字符串将被删除。FortiWeb 将用它自己的内容取代攻

击：

<script src="http://irt.example.com/toDo.jss></script>

由于攻击者经常尝试新的攻击形式来逃避过滤器，正则表达式使用一些技术来灵活匹

配：

•不区分大小写 — (?i)

•替代引号 — ["'`?“”„?‚’‘'?‹›«»]

•零个或多个空格断字 — (\s)*

•断字斜杠替换空白 — [\s\/]*

•标签内的零个或多个新的换行符 — (\n|.)*

使用正则表达式示例 HTML 正文重写

10.4 示例：插入和删除正文

Example.com 希望删除某些文本，并插入其他文字。作为一个例子，它要改变：

Hey everyone, this works!

变成：

Hey, this works now!

要做到这一点，它会重写 Web 服务器的响应的主体部分。

例如使用正则表达式重写主体

10.5 示例：使用正则表达式重写 URL

Example.edu 是一所大学。教授使用 WordPress 的和混合的 Movable Type 软件为他们的

课程制作了网页，学生负责保持进行更新。此外，校园书店和软件商店中使用自定义

的购物车软件。这些 Web 应用程序的 URL 包含有关底层厂商，数据库和脚本语言的线

索。

使用正则表达式重写 URL

10.6 示例：使用变量重写 URL

Example.com 使用 ASP 开发的网站，但管理员希望使用 PHP 来呈现网页。要做到这

点，管理员配置了更改任何请求文件的扩展名是 ASP 到 PHP 的规则。

需要包含两个匹配条件，顺序如下

1。主机名可以是任意的

2。URL 请求必须以.asp 结尾.

使用正则表达式重写 URL

10.7 将重写和重定向规则编组

在您能够应用重写和重定向之前，请在优先设置里组合规则

配置策略

1。在你能使用重写策略之前，你比需先配置一个或多个重写规则

2。进入应用交付> URL 重写政策> URL 重写政策。

3。单击新建。





6。单击新建。


7。对于优先级，在关系到另一个已经定义好的策略时为这条策略制定一个优先级。

8。从重写规则名称下拉列表中，选择一个现有的重写规则名称添加到策略中。


10。为你要添加到重写策略中的每个规则，重复前面的步骤。

11。在一个在线保护规则中选择它，以应用重写策略。

11 阻挡已知攻击和数据泄露

大部分攻击和数据泄露 Fortiweb 可以检测通过使用特征库，启用特征库可以阻挡大部

分 OWASP top10 攻击。

除了扫描标准请求外，Fortiweb 也可以扫描 XML 甚至 AMF3 的特殊请求，为了满足这

个需求，我们需要开启‘enable AM3 protocol detection’ 和 ‘illegeal XML Format’

已知攻击可以升级，也可以自定义攻击特征和数据泄露。

每个服务保护规范都可以配置报警，通过组合查询，可以判定每一个违反规则是如何

处理的。

例如，攻击分类跨站脚本和 sql 注入被设置成 alert_deny,serverity 被设置‘high’，触发报

警设置成投递一个报警邮件当规则违反的时候。某些特征可以禁止，攻击行为也可以

用报警来处理，某些 url 或者 host 可以例外处理。

11.1 配置特征规则

1.在你创建特征策略之前，你需要添加特征规则

2.访问 web protection-known attacks-signatures

3.点击‘create new

4.配置如下

name

输入一个独有的名称，不允许空格和特殊字符，最大不能超过 35 个字符

Action

每一行，foritweb 可以采取违反规则时候的动作，每个违反规则可以设定不同的动作

Alert-接受请求生成邮件报警或者日志信息

Alert&deny

阻挡请求或者重置连接，并且生成报警或者日志信息，你也可以自定义报警页面返回

给客户端及 http 状态码

Period block

阻挡后续请求从一个客户端在未来的时间内，你也可以自定义报警页面或者返回给客

户端的 http 状态码

注意：如果 fortiweb 部署在一个 nat loadbalance 设备后面时，当使用这个选项，你必

须定义一个 x-header 来表明原始客户端 ip，否则 fortiweb 发现攻击时会阻挡所有请

求。

Redirect

重定向请求到一个指定 url，你可以在保护模型里指定并且生成邮件报警和攻击日志

Send 403 forbidden

返回客户单使用 http 4.0.3 访问隐藏错误并且生成一个邮件报警或日志信息

Pass

允许请求，不在生成报警邮件或者日志信息

Continue

生成报警信息或日志信息，然后继续其他规则检查，如果无规则违反，放过请求，如

果有其他规则违反，一个请求会出现多条报警信息或日志信息

Alert & erase

隐藏敏感信息在返回服务器.阻挡请求或者擦除敏感信息

注意：次选项不完全支持离线保护模式，仅仅报警或者日志信息产生，敏感信息将不

会被擦除

Erase,no Alert

隐藏敏感信息从武器返回，但是没有产生报警邮件或日志信息

Bolock period

输入秒数，此时间用来确认 fortiweb 检测违规访问后的阻挡周期

Serverity

Foritweb 记录攻击时的安全级别，具备 3 种级别，low、medium、high。默认情况下使

用 high 级别

Trigger action

Fortiweb 使用通知策略

Cross script

开启阻挡 xss 攻击，同时检测 CSRF 攻击

Coss site scripting （extended）

与 Cross script 不完全一致，更多时候会引起误报，但是适用于大型数据中心，大多数

情况可以关闭

Sql injection

开启阻挡 Sql injection，同时检测 blind SQL injection

Sql injection（extended）

与 sql injection 完全一致，更多时候会引起误报，但是适用于大型数据中心，大多数情

况可以关闭

Generic attacks

开启通用漏洞检测，包含大量攻击注入脚本（不包括 sql），例如 RFI 和 RFI 攻击类型

Generic Attacks（Extended）

与 Generic Attacks 不完全一致，更多时候会引起误报，但是适用于大型数据中心，大

多数情况可以关闭

Trojans

开启扫描木马，病毒，间谍软件，扫描文件大小有限制，超过缓存大小的文件会被略

过检查，为了避免这种情况，我们可以通过配置 http body 大小阻挡大文件传输。为了

及时升级病毒库，Fortiweb 需要及时与 Fortiguard 进行通讯，否则将会有病毒文件漏

过。

Information Disclosure

开启服务器错误信息和其他敏感信息泄露（包头中检查），例如 CF 信息泄露

Bad robot

开启分析 User-agent 字段，通过过滤 http 头中敏感的内容阻挡爬虫程序，以及其他自

动爬取软件。Fortiweb 内置常见机器人特征，例如 wget 下载页面程序，可以通过内容

特征识别。

Credit Card Detection

开启服务器端检测信用卡数字检测，按照 PCI/DSS 法案，所有信用卡数字信息必须被擦

除

Credit Card Detection Threhold

0 代表记录所有信用卡信息账号，其他数字代表页面最多存在的信用卡记录数

Customer signature group

选择一个自定义特征组

OK

11.2 配置动作重写或者例外在数据泄露和攻击检测模型

你可以配置 Fortiweb 省略一些攻击检测，你也可以配置 Fortiweb 仅仅报警并不阻挡攻

击

例外的使用情况在于你知道一些 url，在正常业务使用的时候，将会引起数据泄露匹配

攻击规则，特征例外允许定义请求 url 不再匹配某些特征

禁用特征在攻击 log 页面，同时添加例外

也可以通过如下动作进行例外

1.web Protection>Known Attacks>Signatures

2.点击已存在的特征库模型

3.点击 Advance mode

4.点击 Create new

5。左侧的特征库树，选择不同的分类特征，选取你要禁止或者例外的特征 ID

6.如果你想禁止此特征，你可以右键选择禁止

7.如果你想报警并放过此特征，你可以点选 Alert only

8.如果你想特殊例外某些主机、url 请做如下配置

Host

选择被保护的主机名或者 ip 地址

TYPE

选则正则或者正则匹配

Request URL

输入忽略的 url 地址

10.点击 add

11.重复以上几步添加更多的特征例外

我们可以页面定位禁用或者仅报警的特征集

我们也可以自定义数据泄露和攻击特征

1.访问 Web Protection>Known Attacks>Custon signature

2.点击 create new

3.配置如下

Name

名称

Direction

Request-匹配攻击特征

Response-匹配服务器信息泄露特征

Case Sensitive

大小写敏感

Expression

正则特征匹配内容，最大支持 2071 长度

Action

动作类似普通特征处理动作

Block period

阻挡周期，最长时间 3660 秒

Severity

定义报警级别

Trigger action

报警通知配置

4.点击 ok

5.点击 add Target，添加检测 http 请求位置

6.点击 2 次 ok

7.重复以上动作

8.访问 Web Protection>Known Attacks>Custom Protection policy

9.点击 Create new，创建一个新的自定义特征组

10.选择自定义特征至特征组

11.3 强制页面浏览逻辑控制

黑客通过违反页面访问逻辑，实现 CSRF 攻击

防护方法如下

1.访问 Web Protection>access>page access

2.点击 Create new

3.输入浏览规则顺序，页面输入支持正则匹配

Name

名称

Severity

级别

Trigger Action

报警动作

4.点击 ok

5.重复以上动作

6.将访问模型匹配到 access rule

11.4 指定特殊 URL 允许初始回话

大部分攻击者需要通过第三方页面来进行攻击伪装，我们可以通过强制首页功能

来保护 web 交互。

配置起始页面规则

1.访问 Web protection>Access>Start pages

2.点击 create new

3.配置如下

5.点击 ok

6.重复并建立新规则

7.引用到 start page rule

12 阻挡 0 日攻击

0 日攻击及不可预知的攻击，从特征定义层面，属于未知。

12.1 参数规范

配置参数规则（输入项）基于网站应用

配置输入规则

1.访问 web protection>Input validation>parameter rule

2.点击 create new

3.点击 ok

4.重复可以增加更多参数控制，最大可增加到 1024

5.创建规则

Name

变量在 http 页面代码的名称

Max length

最大长度，0 代表不限制

Required

是否强制需要

Use type check

开启检查数据类型

Data type-预定义变量模型

Regular Expression-正则表达式

Custom Data type-自定义特征

6.点击 ok

7.重复动作建立更多规则

8.访问 Web protection>Input validation>parameter validation poliy

9.点击 create new

输入唯一名称

10.点击 ok

11.创建参数校验规则

12.点击 ok

12.2 修改参数输入规则

如果你需要改变大量参数输入规则，你可以同时对多条规则进行改变

1.访问 web protection>input validation>parameter validation rule

2.选择多个规则，进行同样的配置修改

12.3 定义自定义数据类型

可以使用自定义模型，控制参数输入规则

1.访问 Auto learn>custom pattern>data type

2.点击 create new

3.输入正则定义数据类型

4.可以点击 test 进行测试

5.点击 ok

12.4 阻挡篡改隐藏表单输入

隐藏表单包含客户提交变量，fortiweb 可以通过缓存变量值来校验客户是否修改提交数

值。

配置隐藏表单规则

1.访问 web protection>input validation>hidden fields rule

2.点击 create new

3.如下配置

4.点击 ok

5.点击 fetch url

6.获得 url 隐藏表单内容

蓝色-隐藏字段存在于 url 中，你还没有配置

红色-隐藏字段不存在与 url 中

黑色-隐藏字段存在 url 中，并且你的规则已经配置

7.点击 ok 存储配置

8.也可以手动添加输入表

创建一个新的应用表，输入 url 和隐藏表名，点击 ok

9.重复动作添加隐藏表单规则

10.点击 ok

11.访问 web protection>input validation>hidden fields policy

12.点击 create new

13.输入名称，点击 ok

14.重复步骤，建立完整的隐藏参数策略

12.5 指定 HTTP 访问方法

Fortiweb 可以通过配置策略限制特定的 http 访问方法，这可以用于阻挡攻击，类似

http trace

配置 http 请求方法策略

1.访问 web protection>access>allow method policy

2.点击 create new

3.配置如下

Allow request-允许 http 请求方法

Allow method exceptions-允许 http 请求例外

4.点击 ok

12.6 配置访问方法例外

你可以配置例外允许 http 方法个例

配置如下

1.访问 web Protection>Access>allow method exceptions

2.点击 create new

3 点击 ok

4.点击 create new 增加例外项

url pattern 支持字符及正则表达式

5.点击 ok

6.重复上述动作建立更多例外选项

7.应用例外选项到允许 http 方法策略

12.7 HTTP/HTTPS 协议合规

协议合规规范协议特性，例如 http header 参数、html body 负载大小等

配置 http 协议规范

1.访问 web Protection>protocol>http protocol constraints

2.点击 create new

禁用某些参数检查，可设置 0

Illegal host name

检查 host 部分的合法性

Illegal http verison

检查 http 版本的数字

Illegal HTTP request Method

检查非法 http 请求方法（基于 RFC2616）

HTTP request length

输入最大的 http request bytes

Content length

输入最大的 http request body 大小

Body length

输入最大 http body 大小

Header lenth

输入最大的 http header 大小

Header line length

输入最大的 http header 在每一行的参数长度

Number of header lines in request

输入最大的 http header 行数

Total url and body parameters length

输入最大的参数长度在 url、http post 请求、http body 中

Total url parameters length

输入最大的 url 长度，包括名称和变量

Number of cookies in request

输入最大的 http 请求的 cookie 数量

Number of ranges in range header

输入最大的 range 在 http header，默认是 5

Malformed request

开启检查

语法错误

Fortiweb http 解码器超出最大缓存（如果不开启，超过 fortiweb 缓存的攻击将会被放

过）

Exception name

例外调用

4.点击 ok

12.8 配置 HTTP 协议例外

你可以配置 http 协议例外

配置如下

1.访问 Web protection>protocol>http constraints exception

2.点击 create new

3.调整参数

选择需要例外的 http 协议检查条例

4.点击 ok

5.重复动作加入例外

13 限制文件上传

你可以限制文件上传基于文件类型和文件大小，检查文件通过 content-type 和

content-length 在 http header 中提交的参数实现。

配置如下

1.访问 web protection>input validation>file upload restriction rule

2.点击 create new

Request url

输入标准 url 字符，必须以/开头

File upload limit

输入最大上传文件的 kb 大小

4.点击 ok

5.添加文件类型

删除或者添加你允许的上传文件

6.点击 ok

7.访问 web protection>input validation>file upload restriction policy

8.点击 create new

Antivirus scan

开启扫描木马，也同时开启特征库木马检查

9.点击 ok

10.点击 create new

11.点击 ok

12.重复动作添加更多上传文件控制

13.上传文件控制应用到在线保护规范模型

14 压缩解压缩

你可以完全对 http 负载进行压缩，节省 web 服务器资源，当然也可以临时解压缩为了

病毒扫描或者修改流量当接收到服务器压缩的流量时。

14.1 配置压缩和解压缩免除

配置规则免除

1.访问 application delivery>compression>exclusion rule

2.点击 create new

3.点击 create new

Request url

标准 url 字符，以/开头，不能包括 domain 或者 ip

4.点击 ok

14.2 配置压缩负载

大部分服务器可以压缩文件当接受请求时，压缩文件减少带宽，给客户端更快的投递

速度。

配置文件压缩策略

1.访问 application delivery>compression>file compress policy

2.点击 create new

Exclusion url

你可以选择先前建立的免除规则

3.点击 ok

4.添加或者溢出内容类型

选择你需要压缩的文件类型

5.点击 ok

14.3 配置临时解压缩用于病毒检查和重写

为了某些特殊需求，我们需要对压缩流量进行解压缩处理，如果 http body 压缩过，

Fortiweb 不能进行数据泄露检查和病毒检查，同时也不能重写 body 配置如下

1.访问 Application delivery>file uncompress policy

2.点击 create new

3.点击 ok

4.添加需要解压缩的文件类型

5.点击 ok

6.应用解压缩策略到离线或者在线保护模型

15 策略

策略菜单配置策略和保护模型，你可以配置大量保护特征和流量修正，无论如何，大

部分特性必须引用到策略上才可以生效。

15.1 运行模式对策略的影响

不同模式下策略的配置差异

15.2 配置全局白名单

白名单是自己可以定义的 url\cookie 和其他参数，开启后，这些参数将不会被检查，这

样可减少误判并提升系统性能。

禁用预定义的白名单配置如下

1.访问 server objects>global>predefined global white list

开启或者关闭白名单项，点击应用

2.检查一个参数不在白名单中，你可以开启自动学习，同时请求一个保护站点，同时

尝试攻击一个白名单中关闭的参数，fortiweb 此时可以阻挡这次攻击。

配置一个自定义的全局白名单

1.访问 server object>global>custom global list

2.点击 create new

如果选择 url

Request url 可以输入字符或者正则表达全局 url

如果选择 parameter

请输入精确的变量名称

如果选择 cookie

请输入 cookie 存在路径

3.点击 ok

15.3 上传一个自定义错误页面

错误页面用于显示一个客户端违反策略，同时策略配置成阻挡，我们可以自己编写错

误页面并进行上传

配置如下

1.使用 html 编辑器，建立一个 html 页面包含你的错误信息

2.压缩页面，可以用 zip\gz\tgz 格式

3.访问 server objects>error page>errorpage

4.点击 create new

5.点击浏览器，上传压缩文件

6.点击 Ok

15.4 配置一个保护模型在在线模式下

在线保护模型组合前面配置的规则、模型、策略，复合在一起应用到策略中，在线保

护模型支持所有在线部署的技术特性，应用与反向代理和透明代理部署

配置如下

1.访问 policy>web protection profile>inline protection profile

2.点击 create new

Session managem

添加 cookie，使得 fortiweb 可以跟踪多次请求中 web 应用的状态

Session timeout

输入 http 回话的超时秒数

X-forwarded-for

选择 x-forwarded-for，x-real-ip，http header 设置中使用

Cookie poisoning dection

开启检查 cookie 中毒，当 Fortiweb 检测到 cookie 篡改的时候进行配置动作

Signatures

选择预先定义的特征设置

Enable amf3

开启扫描 AMF3 请求

Enable XML protocol Format

开启扫描攻击和数据泄露在 web 2.0（XML AJAX）基于 bttp body 和 request

Illega XMl Format

开启检查 XML 元素是否基于 XML 1.1 和 XML 2.0 标准

Customer Access

选择基于源 ip\访问速率、http 头等组合条件的控制策略

Parameter validation

选择参数校验规则

Hidden fields protection

选择隐藏表单保护规则

File upload

选择文件上传控制规则

Http protocol constraints

选择 http 协议规范规则

Brute Force login

选择强制登陆控制规则

URL access

选择 url 访问顺序规则

Start pages

选择起始页面规则

Allow method

选择 http 方法控制规则

IP list

选择客户端黑白名单

Geo ip

选择国家黑名单

Dos protection

选择 dos 保护规则

IP reputation

开启 ip 信誉检查

Allow known search engines

开启常见搜索引擎例外，避免 dos、access control 等规则影响常见引擎爬取站点

Url rewriting

选择 url 重写规则

Http authentication

开启 http 认证策略

Site publish

选择 site publish 策略

File compress

选择文件压缩策略

File uncompress

选择文件解压缩策略

Redirect url

输入需要重定向的域名/ip+路径，客户端当违反规则并且规则动作设定为重定向时

Redirect url with reason

开启参数传递，fortiweb 将会添加违规参数到重定向 url 中

Data analytics

开启点击率、攻击、流量统计

3.点击 ok

4.你可以在保护模型中，调用自动学习模型

5.应用在线保护模型到服务策略中

15.5 配置保护模型应用于脱网部署或异步部署

离线保护模型组合规则、模型、策略到一个负责配置集中，离线保护模型仅仅支持脱

网部署和异步检查，使用在 Fortweb 的离线运行模式和透明检查运行模式。

配置离线保护模式

1.访问 policy>web protection profile>offline protection profile

2.点击 create new

配置基本同在线保护模型相似

3.点击 ok

15.6 配置服务器策略

配置服务器策略用来集合你的规则、模型和子策略

服务器策略

1.阻挡或者允许连接

2.基于一个保护模型

3.路由或者直通流量到目的 web server

4.可选，添加自动保护模型收集附加信息

默认无策略情况下遵循以下规则

1.反向代理模式，拒绝所有流量

2.其他模式，默认放过所有流量

配置策略（不同的 fortiweb 硬件型号支持不同的策略数，厂家建议尽量少配置策略）

1.访问 poliy>server policy>server policy

2.点击 create new

不同的运行模式会有不同的操作界面

反向代理模式

离线模式

透明检测

3.配置选项-有些选项在不同的模式下不会存在

Policy name

策略名称

Deploy mode

指定 fortiweb 运行模式

Single server

转发连接至单物理服务器，只存在域反向代理模式

Server balance

使用负载均衡算法发布连接至服务器池

http content routing

使用 http 内容路由路由请求至服务器池中的特定服务器

Transparent servers

允许连接透传 Fortiweb 同时给予保护模型

Virtual server or data capture port or v-zone

Virtual server 针对于反向代理模式定义 ip 地址响应入向流量

Data capture port-针对于离线模式检测网络端口

V-zone-针对于透明代理和透明检查模式指定网络端口接受入向流量

Server type

如果你选择单服务器，你可以定义物理服务器和 domain 服务器

Physical server or domain server

选择物理服务器和 domain server 转发连接

Server farm

选择服务器池包含所有接受连接

Protected servers

选择保护主机名组，用来允许或者拒绝连接，此选项基于 header：host 部分判定

Persistent server sessions

输入投递到后端服务器的最大的 tcp 并发回话数

Blocking port

选择物理接口发送 tcp rst 包，目的用于请求违反规则时阻挡请求

Syn cookie

开启 scp syn flood

Half open threshold

输入 tcp syn cookie 每秒的最大负载

http service

选择自定义或者预定义的 http 端口

Physical server port

输入物理服务器的 tcp 端口

https service

输入自定义或者预定义的 https 的 tcp 端口

Ssl server

开启 ssl/tls 加密连接通过 Fortiweb

Add hsts header

防止中间攻击，强制客户端使用 https 进行访问

Max age

输入 htst header 最大存活时间

Certificate

选择 fortiweb 使用的服务器证书，此证书用于 ssl 加密连接使用

Certificate verification

选择证书名称

Client certificate forwarding

开启 X.509 个人证书转发，此功能用于 ssl/tls 握手阶段

Certificate intermediate group

选择 CA 证书组名称

Persistence timeout

输入 tcp 连接的超时时间

Web protection profile

选择策略使用的 web 保护规范

View profile details

显示保护模型的内容

WAF auto learn profile

选择自动学习模型

Monitor mode

覆盖所有策略配置，接受所有请求同时提供日志和报警

url case sensitivity

url 大小写敏感

error page

错误页面，此页面可以使用默认后者自定义

Error page return code

输入 http 状态码返回给阻挡的客户端，例如 400

Error message

错误信息，fortiweb 响应给阻挡客户端，此选项仅仅适用于使用默认错误页面时

Server health check

服务器健康检查，用于检查服务器存活状态，将请求投递到服务器池中健康的服务器

Load balanceing algorithm

负载均衡算法

Round robin

随机轮询 tcp 连接至服务器

Weighted round robin

轮询 tcp 连接至服务器，同时将权重值的服务器多接受一些请求

Least connection

轮询 tcp 连接至连接数最少的服务器

http session based round robin

当没有已存活的 http 回话时，轮询 tcp 回话。

Comments

描述

4.点击 ok

15.7 HTTP PIPELINING

此功能可用于客户端支持 http1.1 时，在同一 tcp 连接中叠加回话达到加速的目的，功

能适用于反向代理和透明代理模式

配置如下

1.进入命令行

2.输入想要开启 http pipeling 的策略，执行命令

15.8 关闭或者开启策略

开启关闭策略如下配置

1.访问 policy>server policy>server policy

2.点击开启或者关闭

16 网页防篡改

网页防篡改用于监控网站篡改攻击，如果检测到改变，他会自动修复损失。网页反篡

改针对页面防护很有效，单不适用与数据库。常常用于简单 web 站点。

配置如下

1.访问 web anti-defacement>web anti-defacement>web site with anti-defacement

Monitor

显示开启状态-绿代表开启

黄或者红代表不正常

Connected

显示连接结果绿-代表连接成功

红-代表连接失败

Total files

显示 web 站点的全部文件

Total backup

显示备份的全部数量

Total changes

显示改变文件的数量

2.点击 create new

Web site name

Web 站点名称

Description

描述

Enable monitor

开启防篡改检测

Hostname/ip

输入站点的 ip 地址或者域名

Connection type

使用 ftp\ssh\windows share 来建立连接

Ftp/ssh port

输入 ftp/ssh 端口

Windows share name

输入 windows 共享文件夹名称

Folder of web site

输入 web 站点的路径（仅用于 ssh 或者 ssh 连接）

Username

输入 fortiweb 登陆 web 站点使用的用户名

Password

输入口令

Alert email address

出现篡改事件时，fortiweb 发送邮件设置

Moinor interval for root folder

输入 forrtiweb 扫描根文件夹的时间间隔

Monitor interval for other folder

输入 fortiweb 扫描子文件夹的时间间隔

Maximum depth of monitored

输入子文件夹探索层数

Skip files with these extensions

跳过文件类型备份，例如不备份 avi 文件

Restore changed files automatically

开启自动备份网站同时自动恢复网页篡改文件

3.点击 test 可以测试 fortiweb 与站点的连接

4.点击 ok

16.1 恢复备份网站

如果你开启防窜改功能，fortiweb 会自动产生版本，版本的更新代表网站的文件发生变

化，如果你不开启自动恢复功能，只有通过手动恢复网站文件。

恢复网站备份版本如下

1.访问 web anti-defacement>web anti-defacement>web site with anti-defacement

2.选取你要恢复的版本，点击恢复按钮

3.ok

17 合规

合规，常常用于法律事务和商业机构，需要你进行有效的安全策略和安全部署。

17.1 认证

需要你的网站经过认证后才可以进行访问

17.2 防止信息泄露

大型公司和阻止存储大量的个人信息，这些信息必须被严格保护

商业客户姓名地址

学生的姓名和年龄

邮件地址

IT 信息及资产漏洞

17.3 漏洞扫描

你可以扫描已知漏洞基于你的网站或者网页应用，帮助你设计保护模型，更加有效地

对资源进行调度。漏洞扫描也是 PCI DSS 行业标准，需要周期性执行。

运行 web 漏洞扫描

准备漏洞扫描需要的前提

1.存活的 web 站点

2.网络连通性

3.流量负载和周期计划

周期性的 web 扫描配置如下

1.访问 web vulnerability scan>web vulnerability scan>web vulnerability schedule

2.点击 create new

Type

一次或者周期运行

Date

选择运行日期

Day 选择周几运行

3.点击 ok

配置漏洞扫描模型

1.访问 web vulnerability scan>web vulnerability scan>web vulnerability profile

2.点击 create new

Name

输入扫描模型的名称

Hostname /ip or url

输入需要漏洞扫描的站点或 ip 地址

Scan

开启扫描种类，包括通用漏洞、跨站、注入、代码泄露、os 命令等

Scan mode

选择扫描的类型，基本（使用 get，不扫描敏感和排除页面）或者扩展（使用 get 和

post，不扫描排除页面），不建议对实时业务网站进行扩展扫描

Request timeout

输入漏洞扫描连接服务器的超时秒数

Delay between each request

输入每次请求的等候时间，避免被网站当做黑名单处理

3.点击 login option 蓝箭头，扩展配置

Login with http authentication

启用 http authentication

User

输入登陆用户名

Passw

输入登陆密码

Login with specified url/data

登陆使用页面认证

Authenticate url

输入登陆页面

Authenticate data

登陆数据

4.点击 scan web site url options 蓝箭头进行配置

Crawl entire website automatically

自动自动爬取页面

Crawl urls limit

输入最大爬取 url 数量

Specify urls for scanning

指定手动爬取的 url

Exclude scanning following urls

开启排除扫描的 urls

5.点击 ok

运行漏洞扫描

1 自动周期运行，你需要配置周期扫描模型

2.手工执行

Status

显示 scan 的运行状态

Start or stop

开启扫描或者关闭扫描

3.点击 create new

Name

输入扫描策略名称

Type

Run now-手动执行

Schedule-周期执行

Profile

选择调用的扫描模型

Report format

选择扫描报告的种类-pdf、mht、html、rtf、txt 等

Email

选择 email 投递报告

4.点击 ok

手动开始或者关闭漏洞扫描

手动开启

1.访问 web vulnerability scan> web vulnerability scan> web vulnerability scan policy

2.定位漏洞扫描策略，手动点击开始

关闭扫描类似开启，进入页面选择漏洞扫描策略点击关闭

漏洞扫描报告

当 web 漏洞扫描结束后，fortiweb 会生成一个报告汇总

View

浏览报告

Download

下载报告

Target server

显示漏洞扫描主机

Urls found

显示 urls 数量

Alerts

显示报警数量

Scans

显示扫描日期及时间

Scan mode

显示扫描模式，普通或者扩展

扫描报告内容

扫描报告内容如下

下载扫描报告

1.访问 Web Vulnerability Scan > Web Vulnerability Scan > Scan History

2.选中你要下载地址报告

3.点击 download

4.点击 save

18 高级可选系统设置

18.1 改变 FORTWEIB 主机名

配置如下

1.访问 System > Status > Status

2.系统信息挂件，点击改变主机名

3.输入新的主机名

4.点击 ok

18.2 配置掉电或者重启自动 BYPASS

如果你的硬件模型支持自动 bypass，你可以配置 fortiweb 开启自动 bypass

此模式可以用应用的场景

1.透明代理和透明检测

2.单机模式

3.使用 cp7 或者其他芯片支持 bypass 的接口

Fortiweb1000C/D port3+4

Fortiweb 3000C/D port5+6

Foritweb 4000C/D port5+6 or port7+8

Fortiweb 3000CFSx/DFSX port5+6 or port7+8

其他平台及端口不支持

Poweroff-bypass

掉电 bypass

Poweroff-cutoff

掉电中断网络，此为默认配置

18.3 高级设置

Share ip

开启自动分析 ip 包头，确定 ip 地址是否经过 nat

Resursive url decoding

开启检测 url 编码攻击

Maximum body cache size

每个 url 最大 http 回应 body cache，默认是 64KB

Maximum Dlp chache size

最大 http 回应 cache，用于 Dlp 检查

Disable clent-initiated ssl renegotiation

阻止客户端协商 ssl/tls

Prioritize RC4 cipher suite

开启 RC4 加密算法，如果客户端握手宣告支持

19 监视 FORTIWEB

安全是一种习惯，每天我们都要检查漏洞，了解缺陷，使用最好的策略去加固系统

19.1 仪表盘

检查仪表盘，可以发现一些常见问题

默认情况下，空间显示序列号和当前系统状态，资源、错误信息、主机名、版本等信

息，同时你也可以通过 cli 控件直接登录系统，为了自定义控件，你也可以最小化或者

最大化，你也可以通过鼠标拖拽移动控件。

点击 back to default 可以回退到默认配置

Widge title

挂件名称

Refresh

刷新

Close

关闭控件在仪表盘，你可以重新添加通过 add content

系统信息控件

系统信息控件用于显示序列号和基本系统状态

Host name

主机名

Serial name

序列号

Operation mode

设备运行模式

HA status

显示 Fortiweb 是否运行在双机模式

System time

显示 Fortiweb 当前日期

Firmware version

显示 Fortiweb 当前软件版本

System uptime

显示 fortiweb 上次启动后运行多长时间

Administrative domain

开启或者关闭管理域

Fortiguard 信息挂件

Fortiguard 信息挂件显示 Fortinet 技术支持信息

Vm license

显示 vm 平台注册信息

Valid-表示正式版本，非试用版本

Invalid-标示不可用或者试用版本

Registration

注册状态

Unregistered-没有注册 fortinet 技术支持

Registration——email-注册 fortinet 技术支持

Fortiweb security service

显示 Fortiguard web 更新服务是否正常


expired-标示不可用

Fortiweb antivirus service

显示 Fortiguard 病毒更新服务是否正常



Fortiweb ip reputation

显示 Fortiguard ip 名誉库更新服务是否正常



Cli 控制台控件

Cli 控制台控件可以通过 web 界面进行 cli 操作，浏览器必须支持 java 脚本

Text

文本颜色

Background

背景颜色

Use external command input box

使用外部命令输入区域

Console buffer

控制台缓存区

Font

字体

Size

大小

Reset defaults

默认设置

系统资源控件

系统资源控件显示 cpu 状态、内存使用、系统负载

Attack 日志控件

默认显示最近的攻击事件

实时监控控件

包含三种图表

http traffic monitor

显示每个时间段 http 吞吐

Attack event history

显示各种攻击的统计数量

http hit history

显示全部页面请求

事件日志控件

事件日志控件主要显示最近日志信息

服务器状态控件

服务器专题控件显示配置策略的服务器启动状态

没图标-无关联服务器

绿色-代表夫妻正常

闪烁红色-黄色-绿色-没有健康检查配置或者检测失败

策略会话控件

策略控件显示 http/https 回话统计

运行控件

端口名称

Ip 地址

端口速率

双工状态

收发包数量

Reboot

重启

Shut down

关闭系统，准备拔电

Reset

恢复出厂设置

19.2 RAID 级别和硬盘状态

执行如下命令查看

diagnose hardware raid list

19.3 日志

所有日志报警必须通过策略打开才可以使用

报警分类

Event

管理事件-例如配置改变等

Traffic

流量事件-记录 httphttps 请求

Attack

显示攻击事件

报警级别

0 级别最高

0

Emergency 系统严重不稳定

Alert 立刻处理

Critical 功能影响

Error 功能错误

Warning 功能部分影响

Notification 普通事件信息

Informa 常见系统操作信息

开启 log 类型、包负载、资源报警

1.访问 Log&Report > Log Config > Other Log Settings

Enable attack log

开启攻击报警 log

Enable traffic log

开启流量 log，建议关闭流量日志

Enable traffic packet log

开启 http 请求流量包，建议关闭

Enable event log

开启事件日志

Retain packet payl for

记住包的负载

Persistent server session

选择一个区间，当服务器会话数超过这个百分比超过这个区间时产生报警

Cpu utilization

选择一个区间，当 cpu 负载超过这个百分比超过这个区间时产生报警

memory utilization

选择一个区间，当内存负载超过这个百分比超过这个区间时产生报警

Trigger action

选择一个触发器，对应以上报警事件

配置日志存储

你可以选择不同方式存储日志信息。

配置日志设置

1.访问 Log&Report > Log Config > Global Log Settings

Disk

开启日志记录磁盘模式

Log level

选择最低需要记录的级别

When log disk is full

当日志记录磁盘已满处理方法

Do not log-丢弃新的信息

Overwrite oldest logs-删除最老的日志文件，记录新日志信息

Log file should not exceed n MB

输入当前最大日志文件的大小，超过这个大小，日志记录将会产生新文件并继续记录

Memory

开启日志记录内存模式，攻击报告不可以记录在内存，内存模式不可以下载日志

Syslog

开启日志记录 syslog 模式，记录日志至远程 syslog 服务器

Syslog policy

Syslog server 设置

Facility

Fortiweb 与 syslog serer 连接时使用的标签，表明设备标示

Fortianalyzer

开启 fortianalyzer 日志模式，记录 Fortiweb 日志至 fortianalyzer 设备，需要注意

Fortiweb 与 fortianalyzer 有适配性，例如 fortianalyzer 5.0.6 支持 fortiweb5.1.1 和 5.0.5

版本

3.点击 apply

模糊敏感数据

Fortiweb 可以支持敏感数据隐藏，例如在日志中擦去用户名和密码，可以通过内置模

板和自定特征实现

配置隐藏敏感信息

1.访问 Log&Report > Log Config > Log Custom Sensitive Rule

2.点击 create new

General mask

全包负载检查

Field mask

包字段检查，根据输入字段名称过滤

Field value

匹配后，进行隐藏

3.点击 ok

配置 Syslog server

配置 syslog server 开始前，你必须先创建 syslog 连接设置

1.访问 Log&Report > Log Policy > Syslog Policy

2.点击 create new

3.输入 ip 端口

4.开启 scv format，你可以发送信息使用 csv 格式

5.点击 ok

配置 fortianalyzer

1.访问 Log&Report > Log Policy > FortiAnalyzer Policy

2.点击 create new

输入名称，ip 地址

3.点击 ok

配置触发器

你可以配置一个触发器去发送邮件和 syslog 信息，这个触发器可以根据指定的保护模

型进行发送。

配置触发器

1.访问 Log&Report > Log Policy > Trigger Policy

选择 email、syslog、fortianalyzer 报警策略

2.点击 ok

浏览日志信息

你可以通过 web 界面浏览并且下载本地存储下载信息，内存模式 syslog 模式

fortianalyzer 模式不支持

1.访问如下页面

• Log&Report > Log Access > Attack

• Log&Report > Log Access > Event

• Log&Report > Log Access > Traffic

Refresh

刷新页面

Column settings

设置隐藏和显示列

Raw or formatted

格式关联，例如文件格式，或者列格式

Clear all filter

清除所有日志浏览过滤器

Log management

下载或者浏览 log 文件内容

Log message aggregation

攻击日志分类

Log search

使用简单或者复杂搜索功能

2.如果那你想查看日志回滚文件，点击 log management

3.选择要查看的文件，点击 view

查看单条日志文件

1.访问 Log&Report > Log Access > Attackor Log&Report > Log Access > Traffic.

2.选择任意日志信息

查看包负载

如果开启包负载日志记录，我们通过 http 协议分析器浏览包负载内容

1.访问 Log&Report > Log Access > Attackor Log&Report > Log Access > Traffic

2.选择你要查看的日志信息，点击行

装换日志浏览方式

两种浏览模式

RAW-显示日志信息逐行

Format-显示日志文件基于列格式，每一列都会有固定的记录元素

显示及管理日志列

基于 Format 格式浏览日志时，你可以隐藏或者按照某些列来查看日志信息。

配置如下

1.访问 Log&Report > Log Access > Event

2.点击列设置

选择哪些列需要隐藏或者显示，也可以更改列的排列顺序

3.点击 ok

过滤日志信息

Format 格式浏览时，你可以根据列信息过滤日志


2.选择你要过滤的列，点击 filter 按钮

如果想排除过滤条件，可以选择 NOT

可以使用完整的字符过滤，也可以使用通配符*来代表多种字符

3.点击 ok

4.在列上点击红色 X，可以删除过滤器

5.在工具栏，也可以点击 clear all filters 清除所有过滤器

下载日志

我们可以基于时间段下载日志

1.访问 Log&Report > Log Access > Download.

Log type

选择日志类型

System time

系统时间

Start time

起始时间

End time

终止时间

2.点击 download

我们也可以完整下载日志文件


2.点击 log management

3.选择要下载的文件，点击下载

你可以选择普通格式和 csv 格式，也可以选择加密压缩，密码自行设定

删除日志文件

1.访问 Log&Report > Log Access > Event.

2.点击 log management

3.可以删除一个文件，也可多选删除

4.点击 clear log

搜索攻击日志

我们可以在海量攻击日志中定位某条日志

1.攻击日志界面，点击 log search 按钮

2.简单搜索，你可以直接输入关键字进行搜索

3.高级搜索，你可以点击蓝色箭头，展开高级选项

Keyword（s）

输入关键字进行搜索，支持*通配

From/to hour minute

限制日期范围

All/any

All-代表全部匹配

Any-代表匹配其中任意一项

Not

非

Sub Type\Source\Destination\Source

Port\Destination\Port\HTTP\Method\Action\Policy\Service\HTTP Host

各种可供输入的过滤条件

4.点击 ok

合并相似攻击日志信息

当浏览攻击日志时，尤其是大量攻击日志，我们希望可以根据某些条件例如 ul、host

进行日志汇总，这样便于迅速浏览相同的日志信息。

1.访问 Log&Report > Log Access > Aggregated Attacks.

2.每一行都汇总不同的攻击类型，同时按天汇总

3.点击红色按钮，可以进行扩展浏览

19.4 邮件报警

针对攻击事件或者系统时间，你可以采用邮件报警。

配置邮件报警

1.访问 Log&Report > Log Policy > Email Polic

2.点击 create new

Smtp server

输入玩战地域名或者 ip 地址，支持 smtp server 或者 smtp 中继

Email to

输入收件人

Authentication

开启认证

Smtp username

认证用户名

Smtp password

认证密码

Log level

输入最小日志报警级别

Emergency 等配置

输入各种日志级别发送邮件间隔时间

3.点击 ok

配置报警邮件针对事件日志

你可以配置 fortiweb 发送一封报警邮件针对事件日志信息

1.访问 Log&Report > Log Config > Global Log Settings

Alert mail

发送事件日志基于 email 策略，流量日志不会发送邮件报警

2.点击 apply

19.5 SNMP

Fortiweb 可以通过 snmp 客户端进行系统信息查询，也可以发送 traps 到指定的 snmp

管理机。

配置 snmp 代理

1.访问 System > Config > SNMP

Snmp agent

开启 snmp 代理，fortiweb 可以发送或者接受查询。

Descript

描述

Location

Fortiweb 所在的地址

Contact

联系方式

2.点击 apply

配置一个 snmp 共同体

一个 snmp 共同体便于网络管理，你必须配置配置至少一个共同体 Fortiweb 才可以被

查询和 traps 发送。

添加一个 snmp 共同体到 fortiweb snmp 代理

1.访问 System > Config > SNMP.

2.点击 create new

Community name

共同体名称

Host

Ip 地址-允许 snmp manager 访问的 ip 地址

Inter face-允许 snmp manager 访问的物理接口

Queries

输入端口号（默认 161），用于 fortiweb 监听 snmp 查询请求，支持 v1 和 v2c

Traps

输入端口号（默认 162），用于 fortiweb 发送 trap 数据包至 snmp manager，支持 v1

和 v2c

3.开启 snmp traps 事件

Cpu usage is high

Cpu 使用率超过 80%

Memory usage is high

内存使用率超过 80%

Log disk space low

磁盘日志分区使用超过 90%

4.点击 ok

MIB 支持

Fortiweb snmp 代理支持部分 MIB

支持如下

Fortinet core MIB

Fortinet 私有 MIB

Fortiweb MIB

Fortiweb 私有 MIB

RFC-1213（MIB II）以及 RFC-2665（Ethernet-like mib）

19.6 报告

Fortiweb 可以生成如下报告

1.自学习报告

2.流量状态

3.攻击、事件、流量日志

4.漏洞扫描 PCI 合规

配置报告模型

1.访问 Log&Report > Report Config > Report Config

2.点击 create new

输入名称主题描述等内容

Properties

添加 logo、页眉、页脚公司信息，定制化报告

Report scope

选择报告生成范围

Report format

选择报告格式

Schedule

选择报告生成周期

Output

选择报告输出类型和邮件地址

4.点击 ok

立刻生成报告

1.选取报告

2.点击 run now

定制页面页脚 log

Company name

输入公司或者其他机构名称

Header comment

输入标题或者其他信息页眉

Footer Comment

输入标题或者其他信息页脚

Title Page Logo

可以定制标题 logo，或者不使用 logo

Header Logo

可以定制页眉 logo，或者不使用 logo

上传 log

支持 jpg、png、gif 图片文件上传。不需要的 logo 文件也可以删除

限制报告区间

当定义一个报告模型时，你可以选择时间范围用来用来生成报告。

Time period

选择报告时间区间

Past NHours、Past NDays、Past NWeeks-最近这些时间前

From date hour

选择区间从某个时间点

To date

选择区间至某个时间点

None

区间内所有日志信息

Include logs that match the following criteria

复合下列标准的日志信息生成报告

Priority

优先级

Source（s）

源 ip 地址

Destination（s）

目的 ip 地址

http method（s）

http 方法

user（s）

管理帐户名称

Action（s）

动作

Subtype（s）

子类型

Policy（s）

策略名

Service（s）

服务名称

Message（s）

日志信息

Day of week（s）

周几

选择类型和格式

配置报告的类型

Reports

包含 PCI Reports、Attack Activit、Traffic Activity、Event activity 等信息统计

Report format

Include reports with no matching data-允许无信息报告

Advanced

In ‘Ranked Reports’ show top-基于各种分类信息排名，例如攻击、目的 ip、源 ip 等

values of the first variable1.. 30-排名个数

values of the second variable for each value of the first variable 1.. 30-嵌套排名个数

Include summary information

开启包含报告目录

Include table of contents

开启包含报告内容表

周期性报告

配置 fortiweb 可以按照需求周期性生成报告

Schedules

Not scheduled-非自动计划执行

Daily-按照每天自动执行

These days-每周几自动执行

These dates-每月几自动执行

Time

选择生成报告的时间

选择报告类型和邮件投递

File output

Fortiweb 生成报告存储在本地硬盘，html 文件默认保存，其他文件需要自行选择

PDF、MS Word(RTF)、plain text (Text),MIME HTML (MHT 包含在邮件当中)

Email output

Email policy-选择预定义的 email 策略关联

Email subject-选择邮件主题

Email body-输入邮件信体

Email attachme name-输入附件名

Compress report files-执行压缩

浏览下载生成的报告

访问 Log&Report > Report Browse > Report Browse

Refresh

刷新

Rename

重命名

Report files

报告文件

Started

开始中

Finished

已完成

Size（bytes）

显示 html 文件大小

Other formats

其他文件格式

数据分析

Fortiweb 还可以进行数据分析帮助你跟踪服务器的使用率及点击率等信息

升级数据模型

1.访问 https://support.fortinet.com/，下载.dat 文件

2.访问 foritweb System > Maintenance > Backup & Restore

3.进入 data analytics 区域，点击 browse

4.选择.dat 文件并 upload

查看 web 站点状态

访问 Log&Report > Monitor > Data，可以查看源地址 web 网站统计，源地址分为 3 类

A country/region, state, and city-可定位的国家或者地区

Undetermined City/State-不可定位的国家或地区

Internal ips-私有 ip 地址

Hits-合法页面点击数从某个国家

红色-大于 12%

橙色-9%-12%

黄色-6%-9%

蓝色-3%-6%

绿色-0%-3%

Data-合法的访问流量从某个国家

Attack-攻击次数从每个国家

同时也可以生成饼图

过滤数据分析报告

设备自身包含默认时间区间产生数据分析报告，你也可以自定义数据分析报告

1.访问 Log&Report > Monitor > Data Analytics

2.选择 Web Site View orGeographic Location View

3.选择 the Custom-define 选项

4.点击 filter

Policy

策略

Host

主机名或 ip 地址

url

访问的 url

Case sensitive

大小写敏感

Use time filter

指定时间周期

From to 从到

5.点击 ok

机器人分析

访问 Log&Report > Monitor > Bot Analysis，可以自动统计并分析搜索引擎、爬虫及其他

工具

19.7 监视当前阻挡的 IP

访问 Log&Report > Monitor > Blocked IPs，可以查看被阻挡的 ip 地址，这些 ip 地址都是

命中防护策略并使用隔离动作进行处理的，使用 release 可以释放

19.8 FORTIGUARD 升级

Fortiweb 需要定期升级来厚的最新的 web 特征库和病毒特征库，没有这些耿新库，你

无法识别最新的攻击。

Documents

FORTIWEB 中文操作手册 - Fortinet技术支持中心FORTIWEB 中文操作手册 内 部 版 本 号 日 期 地 点 作 者 描 述 1.0 2014/3/14 Hunk 王重人 基于Fortiweb

FORTIWEB 中文操作手册 - Fortinet技术支持中心FORTIWEB 中文操作手册内部版本号日期地点作者描述 1.0 2014/3/14 Hunk 王重人基于Fortiweb